www.hi5.com falha de segurança…. entrar na conta de outros!!!

www.HI5.com
O http://www.hi5.com/ permite aos seus utilizadores trocarem mensagens com código html, e é pratica comum nessas mensagens incluírem imagens (“img src=”http://antoniocampos.net/xpto.jpg” />”), existem sites espalhados pela internet que alojam imagens gratuitamente e inclusive fornecem o código html para que essa imagem possa ser incluída em qualquer pagina. Até aqui nada de novo…!!!
Quando alguém recebe uma mensagem enviada através do site é enviado um email a notificar o destinatário que recebeu a mensagem, nessa mensagem existe um link directo para a mensagem sem que o utilizador tenha que introduzir password ou username. Até aqui nada de novo…!!!
Enquanto dava uma vista de olhos nos logs de um dos servidores Web que administro, e que tem imagens alojadas que são usadas em algumas das mensagens que alguns amigos meus enviam através do hi5 reparei que nos logs (do apache), quando alguém faz o GET da imagem fica o tal link (que acompanha a notificação de nova mensagem) fica registado no referer e com um simples copy\paste no browser tenho acesso ilimitado não só a mensagem em causa mas a toda a sua conta… Por isso caros amigos tenham cuidado com as mensagens que enviam nesse site porque podem ter surpresas menos agradáveis porque alguém pode andar a cuscar a vossa conta sem se aperceberem…

—————————–EDIT 17-10-2007————————————–

A forma de resolverem ou tentarem resolver os problemas que afectam as vossas contas é contactar directamente o hi5 através desta página www.hi5networks.com/contact.html e exporem o vosso problema, talvez o resolvam.

No caso de usarem o hotmail e estarem a tentar recuperar a password do hi5 vejam na pasta de lixo electrónico ás vezes as mensagens do hi5 vão para lá directas!

Em principio e visto haver imensas pessoas com problemas no hi5 vou apresentar aqui uma nova forma para tentarmos resolver os vossos problemas… metam este post nos favoritos e vão visitando a ver se já tenho novidades!

—————————–EDIT 16-07-2007—————————————-
Muitos de vocês questionam porque é que não têm acesso ao HI5.com, a razão mais provável e caso estejam a aceder ao hi5 da escola ou do trabalho é que o administrator do sistema informático tenha bloqueado a acesso ao site! As razões podem ser muitas a mais comum é a perda de produtividade!!! Para “furarem” essas limitações tem que usar Web Proxies (o funcionamento depende de rede para rede) como descrito nos comentários. Ou podem experimentar uma alternativa em Português que é o Kroow ou o easyFlirt... que é na minha opinião é mais completo do que o HI5

————————————————-
E a pedido de varias famílias uma tradução mal feita para ingles:

hi5.security hole:

www.hi5.com allows users to send messages to others users, and users can include on that messages html code including remote inclusion off images (“”)… when a user receives a message he receives too a mail message with the new message notification and a direct link to the message without have to do login…

the problem: the server log keeps the GET and the REFERER for each request, and when the user click the mail link to the message he do the GET of the image on remote server, and the direct link to the message is keeped on the REFERER log, if you copy the link(on the REFERER) to the browser you have full control of the sender account..

836 comentários em “www.hi5.com falha de segurança…. entrar na conta de outros!!!”

  2. boa noite
    Quem me pode ajudar

    Algum criou uma conta de hi5 com fotos minhas. naõ sei quem foi

    como posso bloquear essa conta

    obg

  4. na pagina do meu hi5 pede isto mas eu nao sei como obter o codigo…Verifica o teu e-mail em [email protected] para obteres o código de activação da conta do hi5.

  5. na pagina do meu hi5 pede isto mas eu nao sei como obter o codigo…Verifica o teu e-mail em [email protected] para obteres o código de activação da conta do hi5.

  6. ola, entraram a uns minutos no meu hi5 e no meu hotemail…nao sei o que fazer para mudar as passes o que posso fazer? ajudem.me please =(

  7. Boa tarde por favor eu temto criar um hi5 mas pede sempre para ativar a conta, isto esta a ser muito dificil pra mim por favor me judam o meu email e [email protected]

  8. Olá, tenho um hi5, só que tem uma pessoa chamada Ramirez Ana de Espanha que fez um hi5 com meu nome e minha foto, como faço para denunciar?

  9. Olá, preciso urgentemente de ajuda.
    Andam a entrar-me no hi5 e a mudar.me tudo o que tenho.
    A pass ja’ nao e’ a msm.
    Como é que eu fasso para apagar este hi5?
    Urgente

    Moh

  11. Olá, mudei de password no hi5 e esqueci me !
    Como faço, para saber a minha pass ?

  12. oi Antonio, o meu caso é o seguinte, ja tnh conta no hi5 á algum tempo, mas durante uns bons 3 meses nao pude aceder, o k s passa é o seguinte, nao consigo entrar d maneira nenhuma, ate ja fiz uma nova conta e agora até essa pass nao entra, ja m tou a stressar com esta treta, nao consigo entrar no hotmail, no hi5, resumindo, em nada!!!! tnh a impressao k alg entru, pk a prg d segurança foi alterada e nao consigo acertar. nao sei mais o k fazer, por favor ajuda-me! bjs e bom ano 😉

  13. Boa noite. Estive a visualizar este site (muito bom, sim senhora!)
    é o seguinte…ontem recebi um pedido de amizade no hi5. uma desconhecida. como é obvio, para mim, nao aceitei. mas estive a ver o hi5 dela, para o caso de me lembrar se a conhecia ou nao. quando quis sair da pagina dela, nao é que me aparecem várias janelas com o hi5 dela??? sem exagero, umas 20 paginas ou mais!!!! é normal? o que aconteceu entao?
    Hoje estive várias vezes na minha pagina inicial, estava tudo ok. Mas agora nao consigo ver o perfil dos meus amigos….estranho!
    Ajudem-me.

  14. to com grande problema nao consigo ver quem fez o pedido de a misade nao consigo adcionar ninguem vem sempre ativar a conta estou furiosa .nao sei porq? ajudame assesar o hi5 diz sempre q vao enviar o codigo de ativacao.responder [email protected] por favor urgente

  15. Olha e assim gOstava de pOder entrar nO hi5 mas como fiz troca de palavras passes nao me lenbro sera que e possivel saber a minha passe?

  16. eu queria entrar no meu hi5 e esqueci-me da passeword ja mandei k me enviacem um email pra minha conta do hotmail por varias vezes e ainda nao obti resposta estou completamente desapontada com a equipa do hi5 porque procuro ajuda e ninguem me da resposta nao sei mais onde possa encontrar ajuda queria entrar no meu hi5 nem k seja pra o eliminar porque simseramente estou discontente com essa porcaria ..se me poder ajudar de alguma forma agradecia mas axo tb k sera em vao esse pedido de ajuda pois é tudo uma trata ….muito obrigado

  17. I receive my password in the email I have asked several times and still not sent me please help us

  19. eu queria recoperar a minha password do hi5 e nunca consegui ja mandei varios pedidos pra a recoperar mas nunca chegou email a confirmar minha passsword nao sei o k fazer porque queria muit entrar no meu hi5 …gostaria k me desse uma ajudase pode-se obrigado e bom ano novo

  20. eu tenho um outro problema. akestão é ke á cerca de 3 semanas roubaram-me o meu e-mail alterando a sua password. dsd então alterei a pass da minha conta no hi5 mas mantive o mm e-mail cm conta. so ke como tinha smp a sessão para começar automaticamente sem nnc introduzir apalavra pass, no outro dia calhou me a sessão tar off verifico ke me eskeci da minha password. a kestão é ke sei ke ngm anda a usar o meu hi5 pke ngm o alterou. O ke eu keria era manter a mm conta do hi5 soh ke para recuperar a minha pass tinha ke ter acesso ao meu antigo e-mail. Portanto, eu gstaria de saber se há forma de recuperar a minha antiga conta de e-mail ou então conseguir a minha pass do hi5 no meu novo e-mail. é ke passado 4 anos de ter hi5 não keria de maneira alguma fazer outra página. Poderás me ajudar sff???

    os melhores cumprimentos e os votos de um bom ano, Ana Almeida

Os comentários estão fechados.