www.hi5.com falha de segurança…. entrar na conta de outros!!!

www.HI5.com
O http://www.hi5.com/ permite aos seus utilizadores trocarem mensagens com código html, e é pratica comum nessas mensagens incluírem imagens (“img src=”http://antoniocampos.net/xpto.jpg” />”), existem sites espalhados pela internet que alojam imagens gratuitamente e inclusive fornecem o código html para que essa imagem possa ser incluída em qualquer pagina. Até aqui nada de novo…!!!
Quando alguém recebe uma mensagem enviada através do site é enviado um email a notificar o destinatário que recebeu a mensagem, nessa mensagem existe um link directo para a mensagem sem que o utilizador tenha que introduzir password ou username. Até aqui nada de novo…!!!
Enquanto dava uma vista de olhos nos logs de um dos servidores Web que administro, e que tem imagens alojadas que são usadas em algumas das mensagens que alguns amigos meus enviam através do hi5 reparei que nos logs (do apache), quando alguém faz o GET da imagem fica o tal link (que acompanha a notificação de nova mensagem) fica registado no referer e com um simples copy\paste no browser tenho acesso ilimitado não só a mensagem em causa mas a toda a sua conta… Por isso caros amigos tenham cuidado com as mensagens que enviam nesse site porque podem ter surpresas menos agradáveis porque alguém pode andar a cuscar a vossa conta sem se aperceberem…

—————————–EDIT 17-10-2007————————————–

A forma de resolverem ou tentarem resolver os problemas que afectam as vossas contas é contactar directamente o hi5 através desta página www.hi5networks.com/contact.html e exporem o vosso problema, talvez o resolvam.

No caso de usarem o hotmail e estarem a tentar recuperar a password do hi5 vejam na pasta de lixo electrónico ás vezes as mensagens do hi5 vão para lá directas!

Em principio e visto haver imensas pessoas com problemas no hi5 vou apresentar aqui uma nova forma para tentarmos resolver os vossos problemas… metam este post nos favoritos e vão visitando a ver se já tenho novidades!

—————————–EDIT 16-07-2007—————————————-
Muitos de vocês questionam porque é que não têm acesso ao HI5.com, a razão mais provável e caso estejam a aceder ao hi5 da escola ou do trabalho é que o administrator do sistema informático tenha bloqueado a acesso ao site! As razões podem ser muitas a mais comum é a perda de produtividade!!! Para “furarem” essas limitações tem que usar Web Proxies (o funcionamento depende de rede para rede) como descrito nos comentários. Ou podem experimentar uma alternativa em Português que é o Kroow ou o easyFlirt... que é na minha opinião é mais completo do que o HI5

————————————————-
E a pedido de varias famílias uma tradução mal feita para ingles:

hi5.security hole:

www.hi5.com allows users to send messages to others users, and users can include on that messages html code including remote inclusion off images (“”)… when a user receives a message he receives too a mail message with the new message notification and a direct link to the message without have to do login…

the problem: the server log keeps the GET and the REFERER for each request, and when the user click the mail link to the message he do the GET of the image on remote server, and the direct link to the message is keeped on the REFERER log, if you copy the link(on the REFERER) to the browser you have full control of the sender account..

836 comentários em “www.hi5.com falha de segurança…. entrar na conta de outros!!!”

  1. mas sera k alguem e capaz d nos dar respostas?
    EStao a falhar se la diz k envia o password imediatamente deveria acontecer dignem s ao menos a responder aos clientes

  2. Dizem que tenho o acesso restrigido,nao percebo porque…nao consigo mesmo entrar,ajuda me!
    Agradeço a sua colaboração

  4. Boa tard..
    Preciso mesmo da sua ajuda..é que tou com um problema no hi5,que nao da para perceber,porque sempre entrei no meu hi5 sem problemas nenhuns e hoje nao consegui entrar,pois apareceu que passa sse nao sei o que com a palavra passe e que me iam enviar outra nova palavra para o meu endereço de correio electronico,mas n consigo entrar nesse endereço,e diz no texto que aparece quando nao consigo entrar,que caso nao use esse endereço electronico,para falar directamente com o apoio ao serviço de clinte….entao eu preciso mesmo da sua ajuda….sera que nao da para enviar a nova palavra passe que me vao fornecer para o meu mail que da e que é o que eu uso???
    ou pelo menos iliminar a conta??
    Ajude me,pf…se der para enviar para o meu outro mail a nova passe,envie sff…o mail é:[email protected]

  6. Boa tarde, quando é que será possivel entrar no hi5? Tenho duas contas e uma consigo aceder o outra não… agradeço uma resposta.

  7. Estou na mesma situaçao da Ana. Eu nao percebo. Perdi dois hi5, por denuncia, quando acho que nao tinha nada que infraccionasse, agora dizem que esta restringida.
    Façam alguma coisa.
    Quero mudar o e-mail que tenho para fazer login, mas nao me deixam entrar no hi5.
    Espero resposta.

  8. olá! tenho acesso restringido á minha conta pois dizem que a minha pass está em risco de utilização não autorizada e que enviavam instruções para tal e até agora nada! gostava de saber o que passo fazer!!
    eu preciso de ir ao meu hi5 e favor apressarem s a enviar dados

  9. olá! tenho acesso restringido á minha conta pois dizem que a minha pass está em risco de utilização não autorizada e que enviavam instruções para tal e até agora nada! gostava de saber o que passo fazer!!

  10. olá! tenho acesso restringido á minha conta pois dizem que a minha pass está em risco de utilização não autorizada e que enviavam instruções para tal e até agora nada! gostava de saber o que passo fazer!!

  11. oi eu quero entrar no hi5 e nao consigo! Diz acesso recusado,diz que nao tenho acesso a essa pagina nao sei porque! Nao aparece mesmo nada e eu quero saber como posso fazer para entar? 🙁

  12. Recoloco o post ao qual ainda não obtive resposta:

    Olá, já tentei o suporte do hotmail mas dizem-me que tenho de responder á pergunta secreta. Só que não me lembro que resposta lá escrevi e recordo-me que nao coloquei nenhum mail alternativo. Acha que não conseguirei mesmo?
    Obrigado.

    Muito obrigado

  15. como é que volta a ter acesso ao hi5 se o nosso hi5 for denunciado e n nos deixarem entrar?
    por favor ajudem!

  16. ola! eu tinha dois hi5s, mas um deles era so pa atrofiar com os meus amigos! ele decidiram denunciar o hi5 que eu tinha so pa atrofiar ….agora nem um nem o outro dam!!!!!! aparece que eu n tenho autorizaçao pa entrar…..queria que vcs que ajudaxem! por favor ajudem-m
    espero resposta!

  19. So’ mais um dado…

    Em baixo, naqela barra onde devia aparecer concluido, aparece eternamente: “read images.hi5.com”

    Por favor ajudame!!!!!!

  20. a mim apereceu.me a’ 3 dias o mesmo erro q ao andre’!

    f (true) { //HBX function for ensuring valid names function _hbxStrip(a) { a = a.split(“|”).join(“”); a = a.split(“&”).join(“”); a = a.split(“”˜”).join(“”); a = a.split(“#”).join(“”); a = a.split(“$

    n consigo aceder nem a’ home page do hi5!
    e’ mto estranho… isto aconteceu em todos os computadores da casa…
    tenhu internet da cabovisao…
    i um router asus wl-520g…
    n da’ nem com o IE nem com o fire-fox!

    se me pudesses ajudar agradecia…

Os comentários estão fechados.