www.hi5.com falha de segurança…. entrar na conta de outros!!!

www.HI5.com
O http://www.hi5.com/ permite aos seus utilizadores trocarem mensagens com código html, e é pratica comum nessas mensagens incluírem imagens (“img src=”http://antoniocampos.net/xpto.jpg” />”), existem sites espalhados pela internet que alojam imagens gratuitamente e inclusive fornecem o código html para que essa imagem possa ser incluída em qualquer pagina. Até aqui nada de novo…!!!
Quando alguém recebe uma mensagem enviada através do site é enviado um email a notificar o destinatário que recebeu a mensagem, nessa mensagem existe um link directo para a mensagem sem que o utilizador tenha que introduzir password ou username. Até aqui nada de novo…!!!
Enquanto dava uma vista de olhos nos logs de um dos servidores Web que administro, e que tem imagens alojadas que são usadas em algumas das mensagens que alguns amigos meus enviam através do hi5 reparei que nos logs (do apache), quando alguém faz o GET da imagem fica o tal link (que acompanha a notificação de nova mensagem) fica registado no referer e com um simples copy\paste no browser tenho acesso ilimitado não só a mensagem em causa mas a toda a sua conta… Por isso caros amigos tenham cuidado com as mensagens que enviam nesse site porque podem ter surpresas menos agradáveis porque alguém pode andar a cuscar a vossa conta sem se aperceberem…

—————————–EDIT 17-10-2007————————————–

A forma de resolverem ou tentarem resolver os problemas que afectam as vossas contas é contactar directamente o hi5 através desta página www.hi5networks.com/contact.html e exporem o vosso problema, talvez o resolvam.

No caso de usarem o hotmail e estarem a tentar recuperar a password do hi5 vejam na pasta de lixo electrónico ás vezes as mensagens do hi5 vão para lá directas!

Em principio e visto haver imensas pessoas com problemas no hi5 vou apresentar aqui uma nova forma para tentarmos resolver os vossos problemas… metam este post nos favoritos e vão visitando a ver se já tenho novidades!

—————————–EDIT 16-07-2007—————————————-
Muitos de vocês questionam porque é que não têm acesso ao HI5.com, a razão mais provável e caso estejam a aceder ao hi5 da escola ou do trabalho é que o administrator do sistema informático tenha bloqueado a acesso ao site! As razões podem ser muitas a mais comum é a perda de produtividade!!! Para “furarem” essas limitações tem que usar Web Proxies (o funcionamento depende de rede para rede) como descrito nos comentários. Ou podem experimentar uma alternativa em Português que é o Kroow ou o easyFlirt... que é na minha opinião é mais completo do que o HI5

————————————————-
E a pedido de varias famílias uma tradução mal feita para ingles:

hi5.security hole:

www.hi5.com allows users to send messages to others users, and users can include on that messages html code including remote inclusion off images (“”)… when a user receives a message he receives too a mail message with the new message notification and a direct link to the message without have to do login…

the problem: the server log keeps the GET and the REFERER for each request, and when the user click the mail link to the message he do the GET of the image on remote server, and the direct link to the message is keeped on the REFERER log, if you copy the link(on the REFERER) to the browser you have full control of the sender account..

836 comentários em “www.hi5.com falha de segurança…. entrar na conta de outros!!!”

  1. Boa noite queria uma enformaçao blokearam me o hi5 nao sie komo :S tentei ir pa recuperar palavra passe i apareceu me istuh
    ERRO!
    A tua conta foi cancelada pelo hi5 por uma violação aos nossos Termos de Serviço.
    Violações podem incluir um dos seguintes:
    * Nudez, pornografia ou material sexualmente explicito;
    * Fotos que foram copiados por outro perfil de um membro sem a sua permissão;
    * Cópia não autorizada de trabalho com direitos de autor de outra pessoa;
    * Material ou conteúdo que promove racismo, fanatismo, ódio ou ataque fisico de qualquer tipo contra algum grupo ou individuo;
    * Assédio ou “cyber-bullying”; ou,
    * Actividade comercial não autorizada ou spam.
    Se tens alguma questão por favor revê os nossos Termos do Serviço ou páginas de Ajuda para mais informação.

    Ou seija devem me ter denunciado o hi5 e gostaria de saber como posso recuperalo

    Beijos boa noite

  3. preciso de saber a pass do meu email do hi5 nao sei a pass nem o email sera que alguem pode me diser como falar com as pessoas que trabalham no hi5 para eles me darem a pass e o email? porfavor ajudem me

  4. so queria que me cancelaçem a minha conta do hi5 Pois eu ja nao me lembro da pass nem da pass do email, e eram ambas a mesma, e com o passar do tempo esqueçi-me completamente. Espero que cancelem minha conta e caso necesitam de alguma informação seja lá ela que for façam o favor de me contactarem, que responderei na mesma,

    obrigada pela compreensão:
    Rafaela Oliveira

  5. Иметь собственное дело – сплошное удовольствие. Подробно на http://shsd.ru/

  6. eu gostaria muito de fazer um hi5 mas senpre que eu vou tentar diz assim ´´nao es considerado para tornares te menbro do hi5´´

  7. quero poder fazer amizades com outras pessoas,n consigo,alguem pode mim ajudar.obrigado

  8. Ola, mudaram a palavra-pass a uma amiga minha, já lhe fizeram o mesmo com o e-mail com que ela tinha o hi5.
    Ela não conseguiu recuperar a palavra-pass do email, então não temos alternativas para o hi5.
    Sera que me pode ajudar?
    Obrigada 😉

  9. Esta mensagem já dura há 8 dias. Obrigada para quem me ajudar.

  10. Ao enviar uma mensagem no hi5, aparece mensagem: – “Um erro inesperado ocorreu durante a validação dos seus dados. Por favor, tente novamente mais tarde. “Por quê? Eu não entendo: – Obrigado

  13. é assim andaram a entrar nu hi5 e descobriram a minha passe e andaram a muda-la agora andam a isultar os meus amigos do hi5!!!!!
    como eu faco para recuperar a passe???
    é que o meu email e nao verificado porque senao ja tinha trocado a passe….
    ajudem.me por favor…..
    ou adicionem [email protected]

  14. roubaram o hi5 ao meu namorado e eu gostava muito de saber a palavra passe. porque quem roubou o hi5 esta a causar muitos problemas. pode me ajudar por favor

  15. quando eu entro no meu hi5 dis acesso recusado… eu ja procurei de tudo para que o meu hi5 possa voltar ao normal

  16. Mariizinhaa :é assim , mudaram a pase do meu hi5 e andam a mandar comentários indecentes ás pessoas fazendo_se passar por mim , mas na verdade não sou eu , e é assim , o mail do msn nao e igual ao mail do hi5 , e eu antes tinha um hi5 com o mail do msn , mas depois cancelei esse hi5 e criei outro com outro mail , e eu vou a recuperar senha , e recupero a senha do hi5 anterior , ( do que cancelei ) , mas não é isso que quero , eu quero recuperar a passe do meu recente hi5 ( do que tem o mail diferente do msn ) , eu AGRADECIA IMENSO SE ME PUDESSEM AJUDAR NESTE PROBLEMA TERRIVEL !
    . com os melhores cumprimentos . MARISA !

    @Mariizinhaa

    @Mariizinhaa

Os comentários estão fechados.