www.hi5.com falha de segurança…. entrar na conta de outros!!!

www.HI5.com
O http://www.hi5.com/ permite aos seus utilizadores trocarem mensagens com código html, e é pratica comum nessas mensagens incluírem imagens (“img src=”http://antoniocampos.net/xpto.jpg” />”), existem sites espalhados pela internet que alojam imagens gratuitamente e inclusive fornecem o código html para que essa imagem possa ser incluída em qualquer pagina. Até aqui nada de novo…!!!
Quando alguém recebe uma mensagem enviada através do site é enviado um email a notificar o destinatário que recebeu a mensagem, nessa mensagem existe um link directo para a mensagem sem que o utilizador tenha que introduzir password ou username. Até aqui nada de novo…!!!
Enquanto dava uma vista de olhos nos logs de um dos servidores Web que administro, e que tem imagens alojadas que são usadas em algumas das mensagens que alguns amigos meus enviam através do hi5 reparei que nos logs (do apache), quando alguém faz o GET da imagem fica o tal link (que acompanha a notificação de nova mensagem) fica registado no referer e com um simples copy\paste no browser tenho acesso ilimitado não só a mensagem em causa mas a toda a sua conta… Por isso caros amigos tenham cuidado com as mensagens que enviam nesse site porque podem ter surpresas menos agradáveis porque alguém pode andar a cuscar a vossa conta sem se aperceberem…

—————————–EDIT 17-10-2007————————————–

A forma de resolverem ou tentarem resolver os problemas que afectam as vossas contas é contactar directamente o hi5 através desta página www.hi5networks.com/contact.html e exporem o vosso problema, talvez o resolvam.

No caso de usarem o hotmail e estarem a tentar recuperar a password do hi5 vejam na pasta de lixo electrónico ás vezes as mensagens do hi5 vão para lá directas!

Em principio e visto haver imensas pessoas com problemas no hi5 vou apresentar aqui uma nova forma para tentarmos resolver os vossos problemas… metam este post nos favoritos e vão visitando a ver se já tenho novidades!

—————————–EDIT 16-07-2007—————————————-
Muitos de vocês questionam porque é que não têm acesso ao HI5.com, a razão mais provável e caso estejam a aceder ao hi5 da escola ou do trabalho é que o administrator do sistema informático tenha bloqueado a acesso ao site! As razões podem ser muitas a mais comum é a perda de produtividade!!! Para “furarem” essas limitações tem que usar Web Proxies (o funcionamento depende de rede para rede) como descrito nos comentários. Ou podem experimentar uma alternativa em Português que é o Kroow ou o easyFlirt... que é na minha opinião é mais completo do que o HI5

————————————————-
E a pedido de varias famílias uma tradução mal feita para ingles:

hi5.security hole:

www.hi5.com allows users to send messages to others users, and users can include on that messages html code including remote inclusion off images (“”)… when a user receives a message he receives too a mail message with the new message notification and a direct link to the message without have to do login…

the problem: the server log keeps the GET and the REFERER for each request, and when the user click the mail link to the message he do the GET of the image on remote server, and the direct link to the message is keeped on the REFERER log, if you copy the link(on the REFERER) to the browser you have full control of the sender account..

836 comentários em “www.hi5.com falha de segurança…. entrar na conta de outros!!!”

  1. Alguem mudou a minha pass do hi5 e eu queria saber se posso saber qual e a pass responde pf

  2. Há dias +- três não consigo pôr-me online. Sempre estive asim e agora não consigo.Já fui muitas vezes á privacidade e clico onde diz “nemhum utilizador pode ver o meu estado online” e fica sempre online. Sertá que alguém me pode ajudar. Obrigada. Cumprimentos

  3. Bom dia!!
    Por erro cancelei a minha conta do hi5…tentei reactivar mas como não sei inglês torna-se muito dificil dar os devidos passos para realização do mesmo.
    Existe uma outra forma de reactivar a minha conta?

    Obrigada,

    Mariana

  4. esqeci me da pass e quando a tentei recuperar pediram me o mail , o problema e` qe eles qerem me enviar a pass para o mail pelo qual o hi5 esta registado o problema e` qe ja nao o utilizo , o qe faço ? :s

  5. Boa noite,eu preciso muito da vossa ajuda, eu era cliente da clix, passei para a tv cabo, criei novo endereços consigo entrar no msn, no correio electrónico, só ñ consigo entrar no meu hi5, os meus amigos comseguem aceder á minha página, mas eu ñ consigo, agradecia muito mas muito k me pudesse ajudar,espero uma resposta vossa.Suponho k estou bloqueda, agradecia k me desbloqueassem visto eu nunca ter usado o site incorrectamente. muito obg, e ajudem-me por favor.
    melhores cumprimentos
    Goretty

  6. oi,eu preciso de uma grande ajuda…
    a mais de 1 mês que não consigo aceder ao meu hi5, diz que está temporariamente…pedi para recuperar a password mas nunca recebi nada..
    obrigada

  7. mudei a minha passe do five e que a outra tbha mais que 5digitos agr pos uma que tem mesmo 5 digitos….e nao entre!! porque?

  8. Eu, queria descobrir, uma passe, preciso dela, mas não sei como isso se faz, por favor me tirem essa duvida!

  9. olá… sempre que o hi5 faz mudanças no seu aspecto estraga sempre alguma coisa no meu hi5… agora nas definições do estado online quando defino que nenhum utilizador pode ver o meu estado online apareço sempre online, ou seja, quer esteja on ou offline apareço sempre como online. Isto tem vindo a acontecer desde que alteraram o aspecto de ” ver os visitantes recentes “, ou seja, desde 5ª passada. Nao sei o que fazer… agradeço se puder ajudar-me( ja tentei várias vezes através do HI5 ao serviço d cidadão só que a msg não segue )

  10. Oi td bem cm voces……au criei uma nova conta do hi5 mas agora tra e me pedir pa activar a conta mas eu nao tenho o codigo…ja tentem a minha senha e nao consigo…qual sera esse codigo?? pf

  15. Olá gostaria que me ajudasse andei a modificar o meu hi5 e utilizei um codigo que me apagou a imagem do perfil e as opcções adicionar como amigo deixar um comentario, um five personalizar perfil e gostaria de saber como recuperar… é que so consigo ter exas opcções se utilizar a mascara.

    obrigado

  16. eu tenho um hi5 que o mail é [email protected] mas actualmente nao consigo entrar nesse hi4 porque diz que esta limitada temporariamente…e agora nao sei o que fazer…se me podesse ajudar eu agradecia muito…obrigada

  17. Olá Bom dia Preciso da sua ajuda não consigo entrar no meu hi5 com a minha password,é muito importante porque nau é a primeira vez..ajude.me responda o mais breve possivel

    Obrigado Andreia Lopes

  18. Olá Bom dia Preciso da sua ajuda não consigo entrar no meu hi5 com a minha password,é muito importante porque nau é a primeira vez..ajude.me responda o mais breve possivel

    Obrigado Andreia Lopes

  19. eu tenho hi5 nao consigo comvidar ninguem nem adicionar amigo no meu hi5 esta sempre a pedir para activar conta.me ajudan por favor ja estou desesperado.

  20. eu tenho hi5 nao consigo comvidar ninguem nem dicionar como amigo,esta sempre a pedir para ativar conta .alguem pode me ajudar por fvor,agredeceria imenso

Os comentários estão fechados.