hi5.com falha corrigida…

a uns meses noticiei aqui uma “falha” ou uma forma de aproveitar uma funcionalidade do hi5 para aceder a contas alheias… neste site é possivel embeber o nosso código html ou javascript na pagina sem qualquer tipo de triagem como é descrito neste post, pois é mas fui hoje informado que tal já não é possivel pois agora para entrar no site têm que imperativamente escrever a password… ou seja agora já não podem brincar com este site pelo menos por aqui… na altura em escrevi o dito post, e após alguns convites lá me registei no site tive logo amigos de toda a espécie talvez mais dos que os que tenho na vida real… mas logo me apercebi que devido ao numero de acessos que era um sitio propicio a spammers e não é que os ditos já inundaram aquilo….
estou inscrito no Get A FreeLancer e quase todos os dias alguém pede um script para adicionar “amigos” mas não é só no hi5.com pedem também no Myspace e noutras redes… afinal as social networks sempre são úteis pelo menos dão para ganharmos uns trocos…!!!! 😉

Descobri uma social network easyFlirt já me inscrevi é espectacular, e para já está limpa de spammers sei que o administrador tem muito cuidado para evitar os spammers e já baniu alguns!

—–


ABRIU O FóRUM HI5-PORTUGAL.COM UMA COMUNIDADE PORTUGUESA DO HI5, AINDA ESTÁ NO INICIO REGISTEM-SE E CONTRIBUAM, EU JÁ ESTOU LÁ A TENTAR AJUDAR E SER AJUDADO. O HI5-PORTUGAL É PARA NOS ENTREAJUDAR-MOS E PARTILHAR-MOS TUDO O QUE SABEMOS SOBRE O HI5.

ainda o www.hi5.com

como referi num post anterior existe uma forma simples de se roubar as passwords deste serviço, varias pessoas me perguntaram o que podem fazer para evitar isso, já que a equipa do hi5 estasse literalmente a “marimbar” para isso, quem quiser a usar seguramente este serviço gerido por incompetentes… para evitar que a vossa password seja descoberta… a solução mais fácil é quando recebem aqueles emails do dito “serviço” não carreguem nos links que estão no email… façam login na vossa conta e dai vão a s mensagens… assim ninguem tera acesso a informação confidencial….

—–


ABRIU O FóRUM HI5-PORTUGAL.COM UMA COMUNIDADE PORTUGUESA DO HI5, AINDA ESTÁ NO INICIO REGISTEM-SE E CONTRIBUAM, EU JÁ ESTOU LÁ A TENTAR AJUDAR E SER AJUDADO. O HI5-PORTUGAL É PARA NOS ENTREAJUDAR-MOS E PARTILHAR-MOS TUDO O QUE SABEMOS SOBRE O HI5.

www.hi5.com falha de segurança…. entrar na conta de outros!!!

www.HI5.com
O http://www.hi5.com/ permite aos seus utilizadores trocarem mensagens com código html, e é pratica comum nessas mensagens incluírem imagens (“img src=”http://antoniocampos.net/xpto.jpg” />”), existem sites espalhados pela internet que alojam imagens gratuitamente e inclusive fornecem o codigo html para que essa imagem possa ser incluída em qualquer pagina. Até aqui nada de novo…!!!
Quando alguém recebe uma mensagem enviada através do site é enviado um email a notificar o destinatario que recebeu a mensagem, nessa mensagem existe um link directo para a mensagem sem que o utilizador tenha que introduzir password ou username. Até aqui nada de novo…!!!
Enquanto dava uma vista de olhos nos logs de um dos servidores Web que administro, e que tem imagens alojadas que sao usadas em algumas das mensagens que alguns amigos meus enviam atraves do hi5 reparei que nos logs (do apache), quando alguem faz o GET da imagem fica o tal link (que acompanha a notificação de nova mensagem) fica registado no referer e com um simples copy\paste no browser tenho acesso ilimitado não só a mensagem em causa mas a toda a sua conta… Por isso caros amigos tenham cuidado com as mensagens que enviam nesse site porque podem ter surpresas menos agradaveis porque alguem pode andar a cuscar a vossa conta sem se aperceberem…

—————————–EDIT 17-10-2007————————————–

A forma de resolverem ou tentarem resolver os problemas que afectam as vossas contas é contactar directamente o hi5 através desta página www.hi5networks.com/contact.html e exporem o vosso problema, talvez o resolvam.

No caso de usarem o hotmail e estarem a tentar recuperar a password do hi5 vejam na pasta de lixo eletronico ás vezes as mensagens do hi5 vão para lá directas!

Em principio e visto haver imensas pessoas com problemas no hi5 vou apresentar aqui uma nova forma para tentarmos resolver os vossos problemas… metam este post nos favoritos e vão visitando a ver se ja tenho novidades!

—————————–EDIT 16-07-2007—————————————-
Muitos de vocês questionam porque é que não têm acesso ao HI5.com, a razão mais provavel e caso estejam a aceder ao hi5 da escola ou do trabalho é que o adinistrador do sistema informatico tenha bloqueado a acesso ao site! As razões podem ser muitas a mais comum é a perda de produtividade!!! Para “furarem” essas limitações tem que usar Web Proxies (o funcionamento depende de rede para rede) como descrito nos comentarios. Ou podem experimentar uma alternativa em Portugues que é o Kroow ou o easyFlirt... que é na minha opinião é mais completo do que o HI5

————————————————-
E a pedido de varias familias uma tradução mal feita para ingles:

hi5.security hole:

www.hi5.com allows users to send messages to others users, and users can include on that messages html code including remote inclusion off images (“”)… when a user receives a message he receives too a mail message with the new message notification and a direct link to the message without have to do login…

the problem: the server log keeps the GET and the REFERER for each request, and when the user click the mail link to the message he do the GET of the image on remote server, and the direct link to the message is keeped on the REFERER log, if you copy the link(on the REFERER) to the browser you have full control of the sender account..