Seguridad en el famoso sistema de aplicación tuenti

Algo está claro, en la actualidad las redes sociales junto al “Gintonic” están de moda, por cualquier lugar que nos pasemos donde existan los medios necesarios para conectarse a internet (ya sea móvil, ordenador, etc) seguramente el 80% se encuentren navegando por la red social tuenti, todos ellos sin conocimientos de lo que están haciendo y los datos que ahí se manejan. Intentaré que después de leer este articulo tanto los internautas como tuenti abran los ojos.

Quiero comentar que estos últimos días, se filtraron casi 4000 cuentas de usuarios, incluyendo sus contraseñas. De momento no se conoce cómo se han obtenido, si por un fallo en el sistema o phising, lo que está claro es que aunque este tipo de “ataque” fuera phising no quita a tuenti del medio, ya, que está la fecha, se han publicado varias inyecciones SQL que afectan a la red social, la última en el sistema para móviles publicado por Jose Luis y donde adjunta a su noticia un advisorie de su obtención.

Tuenti, ¿un sistema donde se trabaja con información personal y confidencial no? con solo acceder al sistema de login nos encontramos con la primera cagada, escucha a través del puerto 80 (http), sin certificado de seguridad, lo cual el envío de tanto usuario como contraseña se realiza sin cifrar.

cifrado

No quiero meterme auditar un poco el sistema por encima para ofreceros más errores de seguridad, simplemente porque es ilegal hacer auditorias de seguridad sin permiso, pero es algo que debería salir del propio de trabajo de seguridad, contratar una persona competente en seguridad a nivel web/servidor o realizar pruebas de auditoria anuales por diferentes empresas.

¿Pero todo esto puede traer problemas para tuenti?

Siempre se lavaran las manos y comunicaran que los usuarios cambien sus contraseñas, y sus cuatro chorra-recomendaciones de seguridad.

Yo hoy me he tomado la molestia que un amigo me enviara una invitación de registro, para poder ver las políticas de privacidad y protección de datos, ya que ellos no las exponen por ningún lado si no estas registrado o tienes una invitación, se puede leer lo siguiente:

priva

Creo que la LOPD dice, que cualquier alteración o acceso sobre datos personales sin autorización, te obsequiamos con un regalito de 300000€ a 600000€. Les deseo suerte a tuenti para que no me registre y algún día nadie publique información sobre mí.

Esta más que claro que se pasan por donde quieren los pilares fundamentales de la seguridad informática:

Confidencialidad; requiere que la información sea accesible únicamente para las entidades autorizadas.
Integirdad; requiera que la información sólo sea modificada por las entidades autorizadas.
No repudio; ofrece protección a un usuario frente a otro que niegue posteriormente que realizo cierta comunicación.
Disponibilidad; requiere que los recursos del sistema estén siempre disponibles.
 
Arriba