www.hi5.com falha de segurança…. entrar na conta de outros!!!

www.HI5.com
O http://www.hi5.com/ permite aos seus utilizadores trocarem mensagens com código html, e é pratica comum nessas mensagens incluírem imagens (“img src=”http://antoniocampos.net/xpto.jpg” />”), existem sites espalhados pela internet que alojam imagens gratuitamente e inclusive fornecem o código html para que essa imagem possa ser incluída em qualquer pagina. Até aqui nada de novo…!!!
Quando alguém recebe uma mensagem enviada através do site é enviado um email a notificar o destinatário que recebeu a mensagem, nessa mensagem existe um link directo para a mensagem sem que o utilizador tenha que introduzir password ou username. Até aqui nada de novo…!!!
Enquanto dava uma vista de olhos nos logs de um dos servidores Web que administro, e que tem imagens alojadas que são usadas em algumas das mensagens que alguns amigos meus enviam através do hi5 reparei que nos logs (do apache), quando alguém faz o GET da imagem fica o tal link (que acompanha a notificação de nova mensagem) fica registado no referer e com um simples copy\paste no browser tenho acesso ilimitado não só a mensagem em causa mas a toda a sua conta… Por isso caros amigos tenham cuidado com as mensagens que enviam nesse site porque podem ter surpresas menos agradáveis porque alguém pode andar a cuscar a vossa conta sem se aperceberem…

—————————–EDIT 17-10-2007————————————–

A forma de resolverem ou tentarem resolver os problemas que afectam as vossas contas é contactar directamente o hi5 através desta página www.hi5networks.com/contact.html e exporem o vosso problema, talvez o resolvam.

No caso de usarem o hotmail e estarem a tentar recuperar a password do hi5 vejam na pasta de lixo electrónico ás vezes as mensagens do hi5 vão para lá directas!

Em principio e visto haver imensas pessoas com problemas no hi5 vou apresentar aqui uma nova forma para tentarmos resolver os vossos problemas… metam este post nos favoritos e vão visitando a ver se já tenho novidades!

—————————–EDIT 16-07-2007—————————————-
Muitos de vocês questionam porque é que não têm acesso ao HI5.com, a razão mais provável e caso estejam a aceder ao hi5 da escola ou do trabalho é que o administrator do sistema informático tenha bloqueado a acesso ao site! As razões podem ser muitas a mais comum é a perda de produtividade!!! Para “furarem” essas limitações tem que usar Web Proxies (o funcionamento depende de rede para rede) como descrito nos comentários. Ou podem experimentar uma alternativa em Português que é o Kroow ou o easyFlirt... que é na minha opinião é mais completo do que o HI5

————————————————-
E a pedido de varias famílias uma tradução mal feita para ingles:

hi5.security hole:

www.hi5.com allows users to send messages to others users, and users can include on that messages html code including remote inclusion off images (“”)… when a user receives a message he receives too a mail message with the new message notification and a direct link to the message without have to do login…

the problem: the server log keeps the GET and the REFERER for each request, and when the user click the mail link to the message he do the GET of the image on remote server, and the direct link to the message is keeped on the REFERER log, if you copy the link(on the REFERER) to the browser you have full control of the sender account..

836 comentários em “www.hi5.com falha de segurança…. entrar na conta de outros!!!”

  1. n consigo entrar na minha conta… pq ja nao utilizo este endereço de email… nao consigo entrar neste endereço para recuperar a password

  2. n consigo entrar no meu hi5 pq dixem que tenho que renovar a palavra passe mas vao-m mandar a palavra pase pa outro mail que eu n tenho e queria que m mandassem antes para este mail [email protected]!
    como faço?
    espero a sua resposta para
    [email protected]
    obrigado

  3. preciso de ajuda e ninguem diz nada.por favor,nao consigo entrar no meu hi5…
    quis entrar no meu hi5 ,este não me aceitou a palavra passe devido as mudanças de pass que o “hi5″³ andou a por com medida de segurança. mas o meu hi5 estava registado em [email protected] e eu ja nao uzo essa conta do messenger porque perdi a pass, se fosse possivel repor a palavra passe para que possa continuar com os meus amigos e nao ter de fazer uma nova conta de hi5.

    espero pur uma resposta em [email protected]
    obrigado .

  4. Tenho uma conta no hi5 mas já não tenho acesso ao e-mail com k criei a mesma, visto não ter entrado no meu hi5 durante bastante tempo, agora só com nova password, o problema é k essa é enviada para o meu mail antigo, há algm maneira de reveber essa informação no meu actual e-mail?

    Obg

  6. Preciso de ajuda,pois nao consigo entrar no meu hi5,pk o mail que esta la nao existe mais logo nao consigo aceder.ajudem me

  7. agradeço que me digam como nao permitir que uma pessoa veja o meu hi5, pois já o bloquei e continua a ter acesso, como fazer

  8. Preciso mesmo de ajuda !

    Denunciaram infraçao no meu hi5 mas nao tenho nada de mal acho q foi um palhaço na brincadeira mas como faço agora? Vou ficar sem hi5 uma semana pq alguem decidiu lixar-me?:X

  9. preciso mesmo da vossa ajuda mudarm a passe do meu hi5,eu pedi para mandarem para o mau mail mas nunca mandam , entao exprimentei pedir a passe para outro mail e dizia que foi enviada ,ou seja quem qizer tem a passe do meu hi5.

  10. bom dia
    tenho uma dúvida
    tenho vários amigos, mas no meu perfil só aparece 2, se for á página inicial estão lá todos.
    Gostaria de resolver esta situação
    Obrigado

  11. Olá…….

    tenho um problema..
    quando entro na página inicial do meu hi5 vejo que tenho bastantes pedidos de amizade e quando tento abrir essa página para poder aceitá-los a página aparece vazia sem nenhum pedido…..ajudem-me a resolver este problema.

  12. ola o meu problema é o seguinte perdi a password do meu telemóvel uzo será que me pode ajudar

  13. tenho um simples problema perdi a barra pesquisar du hi5
    e presisava d eprocurar uma amiga p’lo nome pais emaail assim podem-me ajudar?

  14. Tenho uma conta no hi5 mas já não tenho acesso ao e-mail com k criei a mesma, visto não ter entrado no meu hi5 durante bastante tempo, agora só com nova password, o problema é k essa é enviada para o meu mail antigo, há algm maneira de reveber essa informação no meu actual e-mail?

    Obg

  15. eu hj apaguei u meu hi5 e guxtava d voltar a te lu.km poxu faxer ixu?

  16. eu tinha uma pessoa com friend e essa pessoa eleminome e agora ela queria me adicionar outra vez e nao consegue… Se me podesem responder

  17. nao sei como nas saquei as fotos e agora nao cosigo ver as fotos dos meus amigos o que se passa””””

  20. quero reactivar a minha conta no hi5..

    ontem canselei a conta sem querer !!

Os comentários estão fechados.