Hace unos días, Rubén Díaz (a.k.a. Outime) un amigo nuestro desde hace tiempo, (fundador de la red social de código abierto llamada Jisko) y otro compañero. Descubrían una vulnerabilidad crítica en la red social Tuenti.

A modo de explicación corta, scromega explicaba que la vulnerabilidad consistía en:

Cualquier usuario mal intencionado, con solo insertar en el perfil de cualquier usuario un comentario (con un código) podía hacer varias cosas (como dar de baja la cuenta, cambiar el email,…) y además este código se propagaría automáticamente a todos los amigos de se usuario, y así sucesivamente… 

Un poco más en profundidad

Esto lo conseguían, dado que juntando una URL (terminada en /) con código HTML, falla la validación del mismo (XSS). Sin hacer la citada combinación, todo era convertido a HTML Entities (gracias a htmlentities()). Esto se traduce en resumidas cuentas al impedimento de que si alguien escribe código HTML, el navegador lo interprete como tal. ¿Qué es lo que falla en el proceso? El parseado.

Rubén y su compañero estuvieron haciendo varios PoC y consiguieron dar con datos reveladores con los que avisar a Tuenti de dicha vulnerabilidad.

Lo que más me ha llamado a la atención es el tiempo que han tardado los chicos de Tuenti en arreglar dicho fallo tan gordo:  5 días.No sé si tanto tiempo se puede permitir en una red que está cobrando tanto auje entre los jóvenes españoles. Y esto me lleva a recordar lo que ya se está escuchando por muchos lares:

Tuenti = Todos Ustedes Están Negando Tener Intimidad

Esperemos que todo se quedara en un susto y que la próxima vez actúen con algo más de rapidez, como merece una red de tales proporciones.

+ info | Detalles de la vulnerabilidad de Tuenti