Ver la foto de perfil en Tuenti de un desconocido

Al principio me hice tuenti porque me lo comentó una amiga diciéndome que estaba muy chulo. Que podías ver las fotos de todos tus amigos que estuvieran. No me arrepiento de haberlo hecho pero ahora lo veo de otra forma. Y tú también espero después de contarte cómo ver la foto de perfil de un contacto desconocido.

La seguridad

El principal problema de una plataforma cerrada como Tuenti es que el código solo lo conocen ellos. La arquitectura la maneja Tuenti y los bugs solo lo pueden corregir ellos, tú no puedes detectar fallos antes de que sea demasiado tarde mirando el código porque no está a tu disposición.

La privacidad

Otro tema es que tus fotos ya no te pertenecen, subes las imágenes a un servidor de tuenti y pasan a ser propiedad de tuenti digan lo que digan. Si algún día Tuenti pasa a ser propiedad de qué te digo yo… Movist(oh wait) tus imágenes de un día a otro pueden ser utilizadas para fines comerciales por ejemplo cambiando las condiciones en un plis plas.

A qué viene que cuente esto. En nuestro perfil de tuenti podemos configurar para que nadie acceda a nuestro perfil y si nos visita  alguien saldrá una miniatura y con sombreado. ¿Y si te digo que esta limitación te la puedes saltar?

Veamos cómo es la URL de la foto haciendo clic con el botón derecho y en copiar la ruta de la imagen.

Nos da esta dirección:

http://perfiles0.tuenti.net/wPR1OA-c2vtDlYsc9RnA-fj3eJk/i69/i/7/rc.100.100.50.50.177/2/0/5lGCdZ5YvFQmdTu2vjRg.0.jpg

Sustituimos perfiles0 por imagenes2.

http://imagenes2.tuenti.net/wPR1OA-c2vtDlYsc9RnA-fj3eJk/i69/i/7/rc.100.100.50.50.177/2/0/5lGCdZ5YvFQmdTu2vjRg.0.jpg

Lo siguiente sería quitar la cadena de caracteres que va justo detrás del servidor. Este código identifica la sección de foto que el usuario ha decidido que quiere que se vea en su perfil.

http://imagenes2.tuenti.net/wPR1OA-c2vtDlYsc9RnA-fj3eJk/i69/i/7/rc.100.100.50.50.177/2/0/5lGCdZ5YvFQmdTu2vjRg.0.jpg

Tenemos una dirección más clara.

http://imagenes2.tuenti.net/i69/i/7/rc.100.100.50.50.177/2/0/5lGCdZ5YvFQmdTu2vjRg.0.jpg

Ahora toca sustituir la sucesión de números con puntos intercalados por un 600 (indica el tamaño grande de foto).

http://imagenes2.tuenti.net/i69/i/7/rc.100.100.50.50.177/2/0/5lGCdZ5YvFQmdTu2vjRg.0.jpg

http://imagenes2.tuenti.net/i69/i/7/600/2/0/5lGCdZ5YvFQmdTu2vjRg.0.jpg

Accedemos a esa dirección con nuestro navegador y ya veremos la foto original.

No sé si es una vulnerabilidad conocida por Tuenti pero yo ya he reportado unas cuantas y nunca me han contestado así que no vuelvo a hacerlo. Ahí está la información expuesta, si estuviésemos en Diaspora esto se podría hacer de otra forma.

Información extraída de tuentiforo.

22. noviembre 2010 by Joshua Santos
Categories: Informática | Tags: , , | 2 comments

Comments (2)

  1. Muy bueno! :shock: Es raro que no se hayan dado cuenta de esto, a mi parecer, y no soy desarrollador web, es un bugazo en toda regla .

    Se supone que la miniatura y el sombreado cuando no eres amigo de alguien, está para evitar justamente eso, que veas la foto y te veas en la obligación de enviarle una petición de amistad, que la otra persona aceptará o negará si quiere que veas sus fotos. :twisted: (mola este ultimo emoticono) :twisted:

  2. Alucinante !! xD …Aunque yo ya, sabiendo como va todos los rollos de tuenti me lo quité hace muucho tiempo. Nunca me ha gustado esa red social ..y justamente por cosas como éstas :O xd

    Saludos y gracias por pasarte por mi rinconcito :)

Leave a Reply

Required fields are marked *