TuentiDump que monitoriza el tráfico y
descarga todo el contenido de la cuenta de Tuenti comprometida,
almacenando en una base de datos (SQLite) toda la información
(permitiendonos un análisis posterior más cómodo).
La aplicación descarga la información personal del usuario (nombre, apellidos, dirección, teléfonos, email , twitter, páginas web, ...), los mensajes del tablón/wall, las imágenes y su información y los mensajes privados. Hay alguna información cuya obtención no ha sido implementada (tablones y comentarios en imágenes) que es sencillo de añadir pero que en este caso no me ha preocupado.
La descarga y almacenamiento de la información se realiza en tres etapas.
La aplicación descarga la información personal del usuario (nombre, apellidos, dirección, teléfonos, email , twitter, páginas web, ...), los mensajes del tablón/wall, las imágenes y su información y los mensajes privados. Hay alguna información cuya obtención no ha sido implementada (tablones y comentarios en imágenes) que es sencillo de añadir pero que en este caso no me ha preocupado.
La descarga y almacenamiento de la información se realiza en tres etapas.
- Se realizan todas las peticiones web necesarias guardando en bruto (sin procesar) las respuestas. De esta forma conseguimos reducir al máximo el tiempo en el que el SessionID ha de ser válido.
- Se procesa toda la información obtenida en la etapa anterior dejando los datos listos para almacenarlos en la base de datos. Además, en esta etapa se pueden descargar todas las imágenes de la cuenta (para acceder a éstas no es necesario estar autenticado)
- Se genera la base de datos y se almacena en ella toda la información.
Ahora bien, lo más importante ... ¿cuanto tiempo tarda?.
En las pruebas que he realizado con mi portatil (algo limitado) la etapa de descarga (que es la crítica) tarda alrededor de 120 segundos (la limitación se encuentra tanto en el equipo como en la conexión). En la universidad y con un equipo más decente conseguí bajar la cifra a 50 segundos (lo más lento es la descarga de los datos de las imágenes, desactivandolo los tiempos se reducen a la mitad).
La aplicación permite elegir el número de hilos, las páginas del tablon (10 elementos por página) y las de imágenes (25 elementos por página) que se procesaran por cada hilo. Es recomendable jugar con estos parámetros para conseguir el máximo rendimiento.
Con respecto a los datos obtenidos, la información más interesante/crítica se suele encontrar en los mensajes privados. Por lo tanto, lo que un atacante seguramente no hubiera visto simplemente suplantando la cookie, ahora sí que queda expuesto.
A continuación podéis ver una captura de TuentiDump descargando mi cuenta de Tuenti, los tiempos completos y la estructura de la base de datos que genera:
En las pruebas que he realizado con mi portatil (algo limitado) la etapa de descarga (que es la crítica) tarda alrededor de 120 segundos (la limitación se encuentra tanto en el equipo como en la conexión). En la universidad y con un equipo más decente conseguí bajar la cifra a 50 segundos (lo más lento es la descarga de los datos de las imágenes, desactivandolo los tiempos se reducen a la mitad).
La aplicación permite elegir el número de hilos, las páginas del tablon (10 elementos por página) y las de imágenes (25 elementos por página) que se procesaran por cada hilo. Es recomendable jugar con estos parámetros para conseguir el máximo rendimiento.
Con respecto a los datos obtenidos, la información más interesante/crítica se suele encontrar en los mensajes privados. Por lo tanto, lo que un atacante seguramente no hubiera visto simplemente suplantando la cookie, ahora sí que queda expuesto.
A continuación podéis ver una captura de TuentiDump descargando mi cuenta de Tuenti, los tiempos completos y la estructura de la base de datos que genera:
Con respecto a la aplicación, no es
ninguna maravilla (y claramente Java no era la mejor opción) pero para
las pruebas era suficiente. Le he corregido algunos bugs y he publicado
su código fuente en:
http://www.ldelgado.es/?tuentidump
Como conclusión decir que con esta aplicación simplemente quería dar cifras a algo ya conocido y mostrar como hasta la más mínima exposición puede comprometer al completo nuestra cuenta y permitir a un atacante analizar, con todo el tiempo que necesite, toda la información contenida en la misma.
http://www.ldelgado.es/?tuentidump
Como conclusión decir que con esta aplicación simplemente quería dar cifras a algo ya conocido y mostrar como hasta la más mínima exposición puede comprometer al completo nuestra cuenta y permitir a un atacante analizar, con todo el tiempo que necesite, toda la información contenida en la misma.
Fuente: securitybydefault.com
Como se utiliza me lo descargo y que hago que pongo en el cmd
ResponderEliminartienes que poner: "java -jar TuentiDump.jar" como indica en la imagen
ResponderEliminarasegurate que estas en el directorio donde se encuentra el archivo y tienes instalado java y ejecuta ese comando