www.hi5.com falha de segurança…. entrar na conta de outros!!!

www.HI5.com
O http://www.hi5.com/ permite aos seus utilizadores trocarem mensagens com código html, e é pratica comum nessas mensagens incluírem imagens (“img src=”http://antoniocampos.net/xpto.jpg” />”), existem sites espalhados pela internet que alojam imagens gratuitamente e inclusive fornecem o código html para que essa imagem possa ser incluída em qualquer pagina. Até aqui nada de novo…!!!
Quando alguém recebe uma mensagem enviada através do site é enviado um email a notificar o destinatário que recebeu a mensagem, nessa mensagem existe um link directo para a mensagem sem que o utilizador tenha que introduzir password ou username. Até aqui nada de novo…!!!
Enquanto dava uma vista de olhos nos logs de um dos servidores Web que administro, e que tem imagens alojadas que são usadas em algumas das mensagens que alguns amigos meus enviam através do hi5 reparei que nos logs (do apache), quando alguém faz o GET da imagem fica o tal link (que acompanha a notificação de nova mensagem) fica registado no referer e com um simples copy\paste no browser tenho acesso ilimitado não só a mensagem em causa mas a toda a sua conta… Por isso caros amigos tenham cuidado com as mensagens que enviam nesse site porque podem ter surpresas menos agradáveis porque alguém pode andar a cuscar a vossa conta sem se aperceberem…

—————————–EDIT 17-10-2007————————————–

A forma de resolverem ou tentarem resolver os problemas que afectam as vossas contas é contactar directamente o hi5 através desta página www.hi5networks.com/contact.html e exporem o vosso problema, talvez o resolvam.

No caso de usarem o hotmail e estarem a tentar recuperar a password do hi5 vejam na pasta de lixo electrónico ás vezes as mensagens do hi5 vão para lá directas!

Em principio e visto haver imensas pessoas com problemas no hi5 vou apresentar aqui uma nova forma para tentarmos resolver os vossos problemas… metam este post nos favoritos e vão visitando a ver se já tenho novidades!

—————————–EDIT 16-07-2007—————————————-
Muitos de vocês questionam porque é que não têm acesso ao HI5.com, a razão mais provável e caso estejam a aceder ao hi5 da escola ou do trabalho é que o administrator do sistema informático tenha bloqueado a acesso ao site! As razões podem ser muitas a mais comum é a perda de produtividade!!! Para “furarem” essas limitações tem que usar Web Proxies (o funcionamento depende de rede para rede) como descrito nos comentários. Ou podem experimentar uma alternativa em Português que é o Kroow ou o easyFlirt... que é na minha opinião é mais completo do que o HI5

————————————————-
E a pedido de varias famílias uma tradução mal feita para ingles:

hi5.security hole:

www.hi5.com allows users to send messages to others users, and users can include on that messages html code including remote inclusion off images (“”)… when a user receives a message he receives too a mail message with the new message notification and a direct link to the message without have to do login…

the problem: the server log keeps the GET and the REFERER for each request, and when the user click the mail link to the message he do the GET of the image on remote server, and the direct link to the message is keeped on the REFERER log, if you copy the link(on the REFERER) to the browser you have full control of the sender account..

836 comentários em “www.hi5.com falha de segurança…. entrar na conta de outros!!!”

  1. As fotos do meu album do hi5, desapareceram , como é que faço para as recuperar??

  2. Boa tarde á uma semana que o meu hi5 nao me deixa enviar mensagens nem aceitar comentarios,dá sempre o Erro que ocorreu falha na validação das minhas credenciais,nao sei o que fazer…

    Obrigada

  3. boa noite…eu tambem não consigo entrar no meu hi5,diz sempre para alterar a password(clica aqui),mas ainda não recebi nada do genero porque naõ sei como hei de faser.agradecia se me pudessem ajudar a recuperar o password do meu hi5.bjjx

  4. não conssigo entrar no meu hi5, diz Para alterares a tua password (clica aqui) mas até ao momento ainda não recebi nada.e continuo a não receber a minha nova password
    Abraço

  5. não conssigo entrar no meu hi5, diz Para alterares a tua password (clica aqui) mas até ao momento ainda não recebi nada.
    Abraço

  6. Boa tarde. andam a fazer hi5 em meu nome e com fotos minhas. como posso eliminar=?

  7. oi meu hi5 continua activo mas n consigo entrar nele ja fiz um novo mas gostaria de poder acessar ao antigo n sei o que fazer,1 dizia que a senha estava errada e quando tentei mandar por mail disse que tal mail n existia mas meu perfil continua la o que posso fazer???
    obrigado

  9. e se nao tiver mos hotmail ? ou se o mail do hi5 nao for o mesmo do hotmail ?
    como fazemos para recupera a pass ?
    diz – me SFF é muito urgente.

  10. Boa tarde, roubaram-me a password e o mail, queria saber como posso recuperar a minha pass do hi5 se não consigo ir ao meu mail? Obrigada, agradecia se me podessem ajudar!

  11. Boa Tarde.
    Infelizmente é a segunda vez que fazem uma denuncia falsa de spam ou não sei o quê.
    E os gestores do hi5 não analisam o meu hi5 e bloqueiam-no.
    O que poderei fazer?
    Alguem me pode ajudar?

    Muito Obrigado

  12. roubaram-me a password e o mail, queria saber como posso recuperar a minha pass do hi5 se não consigo ir ao meu mail? Obrigada, agradecia se me podessem ajudar!

  13. Boa noite, roubaram-me a password e o mail, queria saber como posso recuperar a minha pass do hi5 se não consigo ir ao meu mail? Obrigada, agradecia se me podessem ajudar!

  15. Boa tarde, roubaram-me a password e o mail, queria saber como posso recuperar a minha pass do hi5 se não consigo ir ao meu mail? Obrigada, agradecia se me podessem ajudar!

  17. Utilizei um código para ocultar os links de perfil e agora não consigo mudar nada pois não aparece nada. Como faço para recuperar o que tirei para voltar a mudar ?

    Obrigado

  20. olá alguém me sabe explicar se é possivel ver um perfil de alguém que tenha colocado acesso restrito?Aguardo resposta, obrigada

Os comentários estão fechados.