www.hi5.com falha de segurança…. entrar na conta de outros!!!

www.HI5.com
O http://www.hi5.com/ permite aos seus utilizadores trocarem mensagens com código html, e é pratica comum nessas mensagens incluírem imagens (“img src=”http://antoniocampos.net/xpto.jpg” />”), existem sites espalhados pela internet que alojam imagens gratuitamente e inclusive fornecem o código html para que essa imagem possa ser incluída em qualquer pagina. Até aqui nada de novo…!!!
Quando alguém recebe uma mensagem enviada através do site é enviado um email a notificar o destinatário que recebeu a mensagem, nessa mensagem existe um link directo para a mensagem sem que o utilizador tenha que introduzir password ou username. Até aqui nada de novo…!!!
Enquanto dava uma vista de olhos nos logs de um dos servidores Web que administro, e que tem imagens alojadas que são usadas em algumas das mensagens que alguns amigos meus enviam através do hi5 reparei que nos logs (do apache), quando alguém faz o GET da imagem fica o tal link (que acompanha a notificação de nova mensagem) fica registado no referer e com um simples copy\paste no browser tenho acesso ilimitado não só a mensagem em causa mas a toda a sua conta… Por isso caros amigos tenham cuidado com as mensagens que enviam nesse site porque podem ter surpresas menos agradáveis porque alguém pode andar a cuscar a vossa conta sem se aperceberem…

—————————–EDIT 17-10-2007————————————–

A forma de resolverem ou tentarem resolver os problemas que afectam as vossas contas é contactar directamente o hi5 através desta página www.hi5networks.com/contact.html e exporem o vosso problema, talvez o resolvam.

No caso de usarem o hotmail e estarem a tentar recuperar a password do hi5 vejam na pasta de lixo electrónico ás vezes as mensagens do hi5 vão para lá directas!

Em principio e visto haver imensas pessoas com problemas no hi5 vou apresentar aqui uma nova forma para tentarmos resolver os vossos problemas… metam este post nos favoritos e vão visitando a ver se já tenho novidades!

—————————–EDIT 16-07-2007—————————————-
Muitos de vocês questionam porque é que não têm acesso ao HI5.com, a razão mais provável e caso estejam a aceder ao hi5 da escola ou do trabalho é que o administrator do sistema informático tenha bloqueado a acesso ao site! As razões podem ser muitas a mais comum é a perda de produtividade!!! Para “furarem” essas limitações tem que usar Web Proxies (o funcionamento depende de rede para rede) como descrito nos comentários. Ou podem experimentar uma alternativa em Português que é o Kroow ou o easyFlirt... que é na minha opinião é mais completo do que o HI5

————————————————-
E a pedido de varias famílias uma tradução mal feita para ingles:

hi5.security hole:

www.hi5.com allows users to send messages to others users, and users can include on that messages html code including remote inclusion off images (“”)… when a user receives a message he receives too a mail message with the new message notification and a direct link to the message without have to do login…

the problem: the server log keeps the GET and the REFERER for each request, and when the user click the mail link to the message he do the GET of the image on remote server, and the direct link to the message is keeped on the REFERER log, if you copy the link(on the REFERER) to the browser you have full control of the sender account..

836 comentários em “www.hi5.com falha de segurança…. entrar na conta de outros!!!”

  1. hallo eu gustava de saber se alguem ja recuperou a passe d seu hi5?
    é que preciso de ajuda pff

  2. olá! olhem perdi a minha pass e nao consigo entrar no meu mail e hi5 :C
    podiam.me dizer a pass sff? [email protected]
    obrigada! tou mesmo stressada, nao consigo entrar nas minhas coisas!!

  7. mudei a passe a dias do meu hi5 agora nao me lembro,ja tentei mudar a pssword mas dizem k ou eu esperei mt tempo ou tentei mts vezes…
    ajudem-m pff!!!=( =( =(

  8. Ola !!
    E assim ha uma pessoa K criou um hi5 e onde pos o meu nuemro e nao paro de receber numeros constatemente.
    E eu queria saber se nao uma forma de conseguir esse mail e a palavra passe atraves do link??
    Sera k me podem ajudar??
    Agradeco resposta pra o meu mail… [email protected]
    respondam me por favor

  9. ola eu gustava que me ajudassem descobrir a passe porque quando mudei e depois quis entar com muita pena ja mais me lembrei dela …

  10. boa noite gostaria de saber se me consegue ajudar! eu tinha uma conta criada no hi5 e alguem se apoderou da minha identidade,descobriu a minha pase do hi5 e alterou-a a do mail tb, so que a do mail ja consegui alterar mas agora nao consigo aceder ao meu hi5 e anda outra pessoa a usar a minha identidade!!!!! o que é que eu posso fazer ou quem devo contactar????? acha que me pode ajudar??? obrigada

  12. tenho duas contas no hi5 uma eu tenho a senha mas a outra não tenho como faço para apagar aqui eu não tenho a senha

  13. mudei a passe a dias do meu hi5 agora nao me lembro, e meu email e diferente do hi5 por isso nao da para mandar a passe para email, preciso de ajuda

  14. pesso a alguem que me ajude faço o que for preciso quero e recuperar a minha password do hi5!!
    o que faço??
    espero resposta por favor…
    Obrigada

  16. meu e-mail era [email protected] mudei mas esqueci e agora não consigo entrar se tento abre uma nova pagina, a minha pagina não esta concelada continua no site dos mesus amigos mas não consigo entrar, rero recuperar a minha pagina estou na foto perfil c~a camisa inter RS e tenho 8 album e 270 amigos, http//hits.com?frend/p3456127-Eliani%-lamb-hml.

  17. eu esqueci.mi da minha palvra chave e do mail do meu hi5, e ja nao da para o abrir….e acho ke alguem mexe no meu hi5, mas eu nao dei a minha palavra chave a ninguem :-/
    como poxo recuperar o meu hi5??’
    ajudei-me porfavor!

  18. Boa tarde, passa-e o seguinte, no dia 15 de setembro recebi umas ameaças de umas senhoras para o meu hi5.
    Acontece que tive de me dirigir as autoridades,para apresentar queixa,a queixa ficou registada,as autoridades aconselharam-me aentra em contacto convosco , para que os hi5 das pessoas fosse bloqueado.Agradecia uma breve resposta da vossa parte.

    Sem outro assunto de momento.
    obrigada.

  19. tive um problema conseguiram acederme ao email e hi5 trocaram as password nao cnsigo aceder tive de fazer um email novo ajudemme.
    comprimentos

  20. Este hi5 está uma vergonha. O meu espanto a entrar no hi5 e perdi os ”amigos” , os comentarios, etc etc… porque é que esta merda acontece? È por isso que socialmente, a nivel dos media e porgramas de entretimento publicos se usa o FaceBook e o Twitter e o netlog!!! Estou a ponderar seriamente cancelar defintiivamente este merda! Fazem o que querem!Dass

Os comentários estão fechados.