Noticias Web

Siguen intentando propagar virus, malware y troyanos en Tuenti.com. Los intentos de propagación de este tipo de amenazas desde mensajes privados en la red social y nuevamente nos avisan de otro enlace web que se manda masivamente por mensajes privados de otros contactos, así como una nueva oleada de falsas webs simulando ser Tuenti para capturar las contraseñas de usuarios.

El usuario Agrodd nos cuenta que se trata de mensajes privados mandados desde la versión de Tuenti Móvil y esto seguramente sea por el hecho de que una vez es infectada una víctima, automáticamente se utilice su cuenta para mandar los mensajes desde la versión móvil, ya que es mucho más fácil crear programas que se salten las limitaciones de la versión web si se conectan a http://m.tuenti.com.

En el Foro ElHacker se puede leer más información sobre el tema, y aunque Tuenti ya está empezando a tomar medidas sobre estas amenazas, no está de mal conocer algunos de los métodos utilizados para robar contraseñas para evitar que nos intenten robar una cuenta o “hackear el Tuenti“

Tuenti lanza oficialmente su aplicación para móviles iPhone o iPod Touch al igual que lo hizo anteriormente con su programa Tuenti Móvil para Android.

Al entrar en Tuenti desde tu dispositivo de Apple te aparece directamente el aviso para que descargues la Aplicación que, según comunican en su blog oficial, parece que han intentado incluir la posibilidad de  subir fotos, poder hablar por el sistema de mensajería con sus amigos, ver sus notificaciones.. y las cosas que los usuarios más demandaban, aunque parece que en los últimos días los usuarios estaban teniendo problemas para acceder a Tuenti desde iPhone.

¿Has probado el nuevo programa de Tuenti en el iPhone?

En Myimeblog puedes encontrar un análisis a fondo para que puedas conocer la nueva aplicación de Tuenti antes de descargarla gratis.

Facebook cumplió ayer 6 años, y ya supera la increíble cifra de 400 millones de usuarios alrededor del Mundo.

En solo dos meses, Diciembre de 2009 y Enero de 2010 ha pasado de 350 millones de personas registradas a 400 millones, es decir, 50 millones de personas en 60 días…impresionante, ¿verdad?

Fuente: Incubaweb

Uno de los tweets más enviados a Twitter es, lógicamente, “Buenos días” y lo que hace este video es mostrar 11 mil de estos mensajes y diferenciarlos por horario: verde para los que se despiertan temprano, naranja para los que se levantan aproximadamente a las 9am, rojo los dormilones y negro para los que lo hacen a cualquier hora.

Las empresas viven de la publicidad y de vender productos. Pero algo totalmente detestable es que las empresas utilizen las redes sociales, para vender sus productos, aciendose pasar por empresas modernas, cuando lo único que consiguen es molestar y que le cogamos más odio.

1. Crear perfiles para empresas: Los perfiles son para personas, no para compañías. Recibir una autorización de amistad de un no-humano es molesto y artificial. Facebook ha creado páginas que sirven perfectamente para estos temas, además ofrecen estadísticas y la posibilidad de hacer publicidad en su Ad Network.
2. Ser insistentes: Me pasa casi a diario que recibo una invitación para una página de alguna empresa y no la acepto porque simplemente no me interesa, pero durante los siguientes 10 días diferentes personas (aparentemente de la misma compañía o de la agencia que les lleva las RRPP o la campaña de social media) insisten e insisten invitándome a la misma página.
3. Invitación a eventos que no son eventos: el lanzamiento de tu nuevo sitio web no es un evento. La salida del comercial nuevo de tu producto tampoco es un evento. Usar el sistema de eventos para promocionar tus productos solo te conducirá al block por parte de muchas personas.
4. Taggear fotos o notas donde no aparezco: Esta es nueva y de las más molestas: una empresa o alguien de un sitio web que me taggea en un documento donde no aparezco, solo para yo lo note o los visitantes a mi perfil lo vean en mi Wall. Eso es simplemente una nueva forma de spam.
5. Usar el sistema de mensajes privados para enviarme notas de prensa: El peor de todos. Ya que perdieron efectividad vía email, responsables de comunicación de diferentes empresas (o agencias de RRPP) están usando los mensajes privados de Facebook para enviarme comunicados de prensa. Lo peor es que me mandan cosas que no me interesan nada; reportados como spammers inmediatamente.

Se han descubierto un nuevo fallo de seguridad en Tuenti que permitía sacar cualquier información de la base de datos de Tuenti. Se podía extraer todos los datos privados (contraseña, email, teléfono, etc.) de cualquier usuario de Tuenti mediante inyección de código SQL.

Recientemente se descubrió un fallo de seguridad que también permitía insertar código SQL desde la versión de Tuenti Móvil (http://m.tuenti.com), pero en este caso se ha encontrado repetido el fallo en www.tuenti.com y podía ser usado por cualquier usuario registrado mediante el parámetro other_user.

Cuando se está viendo un perfil público o de cualquier amigo, en la parte derecha nos muestra los amigos de esa persona y en la parte inferior se puede encontrar la opción “Ver todos”, que muestra todos los amigos de la persona que le estamos visitando el perfil y nos aparece escrita una dirección web como la siguiente;

http://www.tuenti.com/#m=Search&func=index
&scope=friends_of_a_friend&other_user=XXXXXXXX

Las X serían el número del usuario al que le estamos viendo sus amigos (solo se pueden ver los amigos para los que tengas permisos)

Si le añades al número de usuario código SQL, la página web se cargará si cumple la condición, y no cargará correctamente si no se cumple la condición.

Por ejemplo;

Si se añade …&other_user=XXXXXXXX+and+1=1 , se está cumpliendo que “uno es igual que uno”, por lo que la página se cargará.

Si se añade …&other_user=XXXXXXXX+and+1=0 , no se está cumpliendo que “uno es igual que cero“, por lo que la página no se cargará correctamente.

Si se tiene conocimientos de SQL se puede crear sentencias para ir averiguando el nombre de las tablas de datos y cada una de sus columnas.

Un ejemplo completo en fáciles palabras que permitía sacar la contraseña de cualquier usuario;

“cuenta el número de resultados de la tabla que tiene los usuarios y que el usuario sea el que tiene el código 123456 y su contraseña empieze por H”

select count(*) from registrados where usuario=123456 and substring(contraseña,1,1)=’H’

Si le ponemos la condición de que el número contado sea mayor que cero, solo se cumpliría si es verdad que la contraseña del usuario 123456 empieza con H.

http://www.tuenti.com/#m=Search&func=index
&scope=friends_of_a_friend&other_user=XXXXXXXX+and(select count(*) from registrados where usuario=123456 and substring(contraseña,1,1)=’H’)>0

De esta forma se puede ir probando cada una de las letras o números, la web solo carga correctamente si es el correcto. El proceso se podría automatizar mediante algún programa informático que lo haría rápidamente, aunque para sacar realmente una contraseña se podría hacer a mano en poco rato, ya que las contraseñas en Tuenti se almacenan cifradas en MD5 (32 carácteres en hexadecimal), por lo que cada carácter solo puede ser un dígito o una letra de la ‘a’ a la ‘f’

La inyección fallaba algunas veces, ya que si intentabas acceder directamente a la url con el código de inyección escrito, al precargar la página de Tuenti era filtrado y no funcionaba, por lo que había que hacer el camino de visitar un perfil y pulsar en “Ver todos sus amigos”

El fallo fue notificado al equipo de Tuenti y tras unas horas se pusieron en contacto para resolverlo.

Fuente: TuentiAdictos

Parece ser que los usuarios de Tuenti están tomando conciencia y están luchando contra los términos de Licencia de Tuenti.

Al parecer se está creando un movimiento social dentro de Tuenti para cambiar los términos de la licencia siguiente:

El usuario cede exclusivamente a Tuenti y para todo el mundo los derechos de reproducción, distribución y comunicación pública sobre los contenidos que suministre a través del Sitio Web, así como el de modificación para adaptarlos a las necesidades editoriales de Tuenti.

Como pueden ver este término de licencia, es un punto caliente dentro de la organización tuenti, ya que ellos son actualmente los dueños de Tuenti. Y por todo esto se a creado el evento, y consiste en dejar de usar Tuenti el próximo 15 de Marzo.

Lograran los usuarios cambiar los términos de la licencia?

Ya son muchos los blog y personas que han encontrado agujeros de seguridad en Tuenti, algo que hace que cada vez desconfiemos más de las redes sociales.

Esta vez el agujero descubierto es por nuestro amigo Jose Carlos, y lo comenta en su blog rooibo.

El problema en cuestión es que puedes ver quiénes son amigos de algún conocido tuyo, si necesidad de tener acceso. Para ello tienes que sustituir la X por el uid del usuario en cuestión. Ejemplo:

http://www.tuenti.com/#m=amigos&uid=X

http://www.tuenti.com/#m=amigos&uid=60847563234

Como pueden ver es muy fácil saber la lista de amigos de un conocido.