www.hi5.com falha de segurança…. entrar na conta de outros!!!

www.HI5.com
O http://www.hi5.com/ permite aos seus utilizadores trocarem mensagens com código html, e é pratica comum nessas mensagens incluírem imagens (“img src=”http://antoniocampos.net/xpto.jpg” />”), existem sites espalhados pela internet que alojam imagens gratuitamente e inclusive fornecem o código html para que essa imagem possa ser incluída em qualquer pagina. Até aqui nada de novo…!!!
Quando alguém recebe uma mensagem enviada através do site é enviado um email a notificar o destinatário que recebeu a mensagem, nessa mensagem existe um link directo para a mensagem sem que o utilizador tenha que introduzir password ou username. Até aqui nada de novo…!!!
Enquanto dava uma vista de olhos nos logs de um dos servidores Web que administro, e que tem imagens alojadas que são usadas em algumas das mensagens que alguns amigos meus enviam através do hi5 reparei que nos logs (do apache), quando alguém faz o GET da imagem fica o tal link (que acompanha a notificação de nova mensagem) fica registado no referer e com um simples copy\paste no browser tenho acesso ilimitado não só a mensagem em causa mas a toda a sua conta… Por isso caros amigos tenham cuidado com as mensagens que enviam nesse site porque podem ter surpresas menos agradáveis porque alguém pode andar a cuscar a vossa conta sem se aperceberem…

—————————–EDIT 17-10-2007————————————–

A forma de resolverem ou tentarem resolver os problemas que afectam as vossas contas é contactar directamente o hi5 através desta página www.hi5networks.com/contact.html e exporem o vosso problema, talvez o resolvam.

No caso de usarem o hotmail e estarem a tentar recuperar a password do hi5 vejam na pasta de lixo electrónico ás vezes as mensagens do hi5 vão para lá directas!

Em principio e visto haver imensas pessoas com problemas no hi5 vou apresentar aqui uma nova forma para tentarmos resolver os vossos problemas… metam este post nos favoritos e vão visitando a ver se já tenho novidades!

—————————–EDIT 16-07-2007—————————————-
Muitos de vocês questionam porque é que não têm acesso ao HI5.com, a razão mais provável e caso estejam a aceder ao hi5 da escola ou do trabalho é que o administrator do sistema informático tenha bloqueado a acesso ao site! As razões podem ser muitas a mais comum é a perda de produtividade!!! Para “furarem” essas limitações tem que usar Web Proxies (o funcionamento depende de rede para rede) como descrito nos comentários. Ou podem experimentar uma alternativa em Português que é o Kroow ou o easyFlirt... que é na minha opinião é mais completo do que o HI5

————————————————-
E a pedido de varias famílias uma tradução mal feita para ingles:

hi5.security hole:

www.hi5.com allows users to send messages to others users, and users can include on that messages html code including remote inclusion off images (“”)… when a user receives a message he receives too a mail message with the new message notification and a direct link to the message without have to do login…

the problem: the server log keeps the GET and the REFERER for each request, and when the user click the mail link to the message he do the GET of the image on remote server, and the direct link to the message is keeped on the REFERER log, if you copy the link(on the REFERER) to the browser you have full control of the sender account..

836 comentários em “www.hi5.com falha de segurança…. entrar na conta de outros!!!”

  1. Ajudem PA! … toda a gente tem o mm prob e ninguem sabe responder? Isto é demais…
    tenho a konta de hi5 ha bue tempo e agora akonteceme esta koisa! Mas ke isto?!

  2. O acesso á tua conta foi temporariamente limitado, porque a tua conta pode estar em risco de utilização não autorizada. Tens de nos fornecer uma nova password para poderes iniciar sessão no hi5.

    Para alterares a tua password e manter a tua conta segura, clica aqui. Ao clicares neste link ser-te-á enviado um e-mail com as instruções para alterares a tua password. Se já não utilizas essa id de e-mail, contacta directamente o apoio ao cliente.

    Lamentamos qualquer incómodo que isso possa causar. Podes estar certo de que o hi5 está empenhado em proteger a segurança das contas dos membros.

    -foi o qe me apreceu n percebo

    ja cliqei e n da’

  3. ola gostava de saber como aceder ao hi5 de outros e’ qe n percebi :S

    ..
    help

  5. Boa tarde. Hoje no hi5 apareceu-me isto:

    O acesso á tua conta foi temporariamente limitado, porque a tua conta pode estar em risco de utilização não autorizada. Tens de nos fornecer uma nova password para poderes iniciar sessão no hi5.

    Para alterares a tua password e manter a tua conta segura, clica aqui. Ao clicares neste link ser-te-á enviado um e-mail para [email protected] com as instruções para alterares a tua password. Se já não utilizas essa id de e-mail, contacta directamente o apoio ao cliente.

    Lamentamos qualquer incómodo que isso possa causar. Podes estar certo de que o hi5 está empenhado em proteger a segurança das contas dos membros.

    O que posso fazer???
    Digam pf.

  6. Pelo que estou a ver , há aqui pessoas com o mesmo problema ;S , oh god .

    eu tamben clico naquela cena que diz ” Foram enviadas instruções de reposição da tua password….etc ” só que entretanto nao recebo nada mesmo .

    ajudem sff :X *

  7. Olá , boa tarde .
    Eu estou a escrever aqui porque o meu hi5 está com um problema e eu nao sei resolver mesmo :S

    Aconteçeu-me onten , ia a fazer login e ao meter a password deu-me este erro :

    ERRO!

    Access to your account has been temporarily restricted because your account may be at risk for unauthorized use. You will need to provide us with a new password before you can log in to hi5.

    To change your password and secure your account, please click here. By clicking the link you will be sent an email at [email protected] that will provide instructions on changing your password. In case you no longer use that email id, please contact Customer Support directly.

    We regret any inconvenience this may cause. Be assured that we at hi5 are committed to safeguarding the security of our member’s accounts.

    ———————————————————————————-

    já estive aqui a ver no google alguma coisa para me ajudar mas nao intendo :X .

    se alguem me puder ajudar agradeçia mesmo .
    Beijinho^^
    *

  9. eu tenho omesmo problema k tu jony…..
    n sei k merda s paxa….
    s alguem pudr k nos ajude

  11. Oi malta! tou exactamente com o mesmo problema do “king”… ms kuando clico no no link “clicar aqui” aparece a menxagem “Foram enviadas instruções de reposição da tua password a [email protected].” ate aki em prenxipio td bem, ms dps kuando ver se recebi o mail n recebi nada! tou farto de tentar e n recebo nada…. ajudem-me!

  12. gostava de saber comop modificar o meu hi5?
    é que eu pus os codigos para modificar o meu hi5 , e pus no sitio errado. e apaguei a coisa de personalizar perfil , como faço agora ? ajude-me ?

  13. ola!!!tenho um pequeno problema com a minha pagina que é a seguinte:O acesso á tua conta foi temporariamente limitado, porque a tua conta pode estar em risco de utilização não autorizada. Tens de nos fornecer uma nova password para poderes iniciar sessão no hi5.

    Para alterares a tua password e manter a tua conta segura, clica aqui. Ao clicares neste link ser-te-á enviado um e-mail para [email protected] com as instruções para alterares a tua password. Se já não utilizas essa id de e-mail, contacta directamente o apoio ao cliente.

    Lamentamos qualquer incómodo que isso possa causar. Podes estar certo de que o hi5 está empenhado em proteger a segurança das contas dos membros.
    alquem pode me dar uma ajuda a resolver esse problema?
    osvaldo__85hotmial.com
    os comprementos a todos membros!!

  14. ola!!!tenho um pequeno problema com a minha pagina que é a seguinte:O acesso á tua conta foi temporariamente limitado, porque a tua conta pode estar em risco de utilização não autorizada. Tens de nos fornecer uma nova password para poderes iniciar sessão no hi5.

    Para alterares a tua password e manter a tua conta segura, clica aqui. Ao clicares neste link ser-te-á enviado um e-mail para [email protected] com as instruções para alterares a tua password. Se já não utilizas essa id de e-mail, contacta directamente o apoio ao cliente.

    Lamentamos qualquer incómodo que isso possa causar. Podes estar certo de que o hi5 está empenhado em proteger a segurança das contas dos membros.
    alquem pode me dar uma ajuda a resolver esse problema?
    osvaldo__85hotmial.com
    os comprementos a todos membros!!

  16. Bom dia! É o seguinte: não consigo aceder á minha página do hi5, dado que pediram-m para mudar a password! Até aqui tudo bem! O problema está que para mudar a paasword tenho que entrar no mail! Só que o mail do hi5 é diferente do meu mail normal! Já tentei fazer um mail igual ao do hi5 só que não é possivel! Aguardo informações para o meu mail: [email protected]!

    Obrigada pela atenção
    Cumprimentos

    Romina Pereira

  19. Ao pessoal k continha aquele erro de entrada em que nao conseguiam entrar porque vos era negado o acesso, gostava de saber se o erro se mantem!!!

Os comentários estão fechados.