www.hi5.com falha de segurança…. entrar na conta de outros!!!

www.HI5.com
O http://www.hi5.com/ permite aos seus utilizadores trocarem mensagens com código html, e é pratica comum nessas mensagens incluírem imagens (“img src=”http://antoniocampos.net/xpto.jpg” />”), existem sites espalhados pela internet que alojam imagens gratuitamente e inclusive fornecem o código html para que essa imagem possa ser incluída em qualquer pagina. Até aqui nada de novo…!!!
Quando alguém recebe uma mensagem enviada através do site é enviado um email a notificar o destinatário que recebeu a mensagem, nessa mensagem existe um link directo para a mensagem sem que o utilizador tenha que introduzir password ou username. Até aqui nada de novo…!!!
Enquanto dava uma vista de olhos nos logs de um dos servidores Web que administro, e que tem imagens alojadas que são usadas em algumas das mensagens que alguns amigos meus enviam através do hi5 reparei que nos logs (do apache), quando alguém faz o GET da imagem fica o tal link (que acompanha a notificação de nova mensagem) fica registado no referer e com um simples copy\paste no browser tenho acesso ilimitado não só a mensagem em causa mas a toda a sua conta… Por isso caros amigos tenham cuidado com as mensagens que enviam nesse site porque podem ter surpresas menos agradáveis porque alguém pode andar a cuscar a vossa conta sem se aperceberem…

—————————–EDIT 17-10-2007————————————–

A forma de resolverem ou tentarem resolver os problemas que afectam as vossas contas é contactar directamente o hi5 através desta página www.hi5networks.com/contact.html e exporem o vosso problema, talvez o resolvam.

No caso de usarem o hotmail e estarem a tentar recuperar a password do hi5 vejam na pasta de lixo electrónico ás vezes as mensagens do hi5 vão para lá directas!

Em principio e visto haver imensas pessoas com problemas no hi5 vou apresentar aqui uma nova forma para tentarmos resolver os vossos problemas… metam este post nos favoritos e vão visitando a ver se já tenho novidades!

—————————–EDIT 16-07-2007—————————————-
Muitos de vocês questionam porque é que não têm acesso ao HI5.com, a razão mais provável e caso estejam a aceder ao hi5 da escola ou do trabalho é que o administrator do sistema informático tenha bloqueado a acesso ao site! As razões podem ser muitas a mais comum é a perda de produtividade!!! Para “furarem” essas limitações tem que usar Web Proxies (o funcionamento depende de rede para rede) como descrito nos comentários. Ou podem experimentar uma alternativa em Português que é o Kroow ou o easyFlirt... que é na minha opinião é mais completo do que o HI5

————————————————-
E a pedido de varias famílias uma tradução mal feita para ingles:

hi5.security hole:

www.hi5.com allows users to send messages to others users, and users can include on that messages html code including remote inclusion off images (“”)… when a user receives a message he receives too a mail message with the new message notification and a direct link to the message without have to do login…

the problem: the server log keeps the GET and the REFERER for each request, and when the user click the mail link to the message he do the GET of the image on remote server, and the direct link to the message is keeped on the REFERER log, if you copy the link(on the REFERER) to the browser you have full control of the sender account..

836 comentários em “www.hi5.com falha de segurança…. entrar na conta de outros!!!”

  1. Faço anos dia 5 de Julho e reparei que todos os meus amigos não estão a receber nas suas páginas inciais do hi5 o alerta sobre o meu aniversário. Porque que isso acontece? É suposto aparecer sempre, não é?

  2. É o seguinte.
    Eu tinha dois mail mas so utilizava um! Esta semana alguem descobriu a minha passe logo dos dois mail. Nao sei que faça!
    Ah ; tambem descobriram , nao sei como a minha passe do hi5 mudaram me frase do estado a dizer: é fodido mas consegui!

    Ajudem me por favor!

  4. EXTOU OUTRA VEZ NO HI5 PORQUE CONTINUO SEM CONSEGUIR ENTRAR NO HI5
    OBRIGADO NA MESMA MAS NAO CONSEGUIRAM RESOLVER O MEU PROBLEMA DO HI5
    OBRIGADO PELA COMPREENSAO

  5. o meu problema e que eu crie o meu hi5 e sempre que quero entrar nele nao consigo diz sempre que eu nao tenho conta no hi5 e tambem diz que a minha palavra passe esta errada por favor preciso de ajuda o mais rapido possivel.OBRIGADO

  6. nós queremos saber as instruções q devemos utilizar para activar a conta

  7. nao consigo activar a minha conta a muito tempo ja nao sei o que fazer ate breve

  8. nao sei o que ei de fazer para activar a minha conta no meu hi5 …
    ja estou amuito tempo atentar mas nao consigo

  10. nao consigo ver os meus comentarios nem pedidos de amizade diz que nao tenho autorizaçao na pagina ?e urgente

  11. tenho um hi5 que é violado constantemente, mudam meu nome, fotos e insultam amigos…com este é o quarto hi5, eu elimino eles reactivam…peço uma res+posta

  12. Entao , dei a minha pass a um amigo meu para me arranjar umas coisas no hi5 . O problema é que ele entro no meu hi5 , estragou aquilo tudo e mudou a pass e o mail …

    Nao há maneira de recuperar ?

    Agradeço respostas , é “urgente” 😡

  13. Como ]e possivel um servi;o destes nao ter um apoio para falar com os responsaveis. Falo do hi5 claro.
    Nao consigo aceder a minha conta, alias tive de criar um novo hi5, a outra conta continua activa e nunca vi actividade nela que me pudesse sugerir roubo de conta. A verdade e que diz que o email nao ta associado, faxo recuperar pass tb nada…enfim. Se alguem puder ajudar agrade;o contacto por email.

    [email protected]

  15. O MEU PROBLEMA E O SEGUINTE EU ESQUESSIME DA MINHA PASS E DO EMAIL E QUERO CASELAR A MINHA CONTA UQUE FASSO? URJENTE AJUDA SOS PURFAVOR!

  16. O MEU PROGLEMA É… EU ME REGISTREI-ME ONTEM ACTIVEI O MEU HI5 TUDO BEM MAS HOJE NÃO CONSIGO ENTRAR NO MEU HI5 PORQUE VAI PARA OUTRO LUGAR QUE NÃO É O MEU ….EU VIVO NUMA CASA QUE TEMOS OUTRAS CONTAS E A MINHA TEM O E-MAIL DE 1DESSAS CONTAS E EU NUNCA ESCRIVI PORQUE? SE EU NUNCA ESCREVI NENHUMA DESSAS CONTAS Só A MINHA (E-MAIL)E APARECE NA CONTA MINHA 1 E-MAIL QUE NÃO É O MEU……EU RECEBO E-MAIL MAS NÃO CONSIGO ENTRAR NO HI5 PORQUE? COMO SE CONSEGUE TAL COISA ACONTECER….QUERIA AJUDA…..OBRIGADOS

  17. boas a todos. alguem sabe como posso remover todas as escolas a que aderimos e depois aparecem no “sobre mim” ? eu aderi a 3, mas o problema e que a pagina nao existe…

  20. Gostaria de saber como arranjar as passwords de hi5 de outras pessoas?

Os comentários estão fechados.