www.hi5.com falha de segurança…. entrar na conta de outros!!!

www.HI5.com
O http://www.hi5.com/ permite aos seus utilizadores trocarem mensagens com código html, e é pratica comum nessas mensagens incluírem imagens (“img src=”http://antoniocampos.net/xpto.jpg” />”), existem sites espalhados pela internet que alojam imagens gratuitamente e inclusive fornecem o código html para que essa imagem possa ser incluída em qualquer pagina. Até aqui nada de novo…!!!
Quando alguém recebe uma mensagem enviada através do site é enviado um email a notificar o destinatário que recebeu a mensagem, nessa mensagem existe um link directo para a mensagem sem que o utilizador tenha que introduzir password ou username. Até aqui nada de novo…!!!
Enquanto dava uma vista de olhos nos logs de um dos servidores Web que administro, e que tem imagens alojadas que são usadas em algumas das mensagens que alguns amigos meus enviam através do hi5 reparei que nos logs (do apache), quando alguém faz o GET da imagem fica o tal link (que acompanha a notificação de nova mensagem) fica registado no referer e com um simples copy\paste no browser tenho acesso ilimitado não só a mensagem em causa mas a toda a sua conta… Por isso caros amigos tenham cuidado com as mensagens que enviam nesse site porque podem ter surpresas menos agradáveis porque alguém pode andar a cuscar a vossa conta sem se aperceberem…

—————————–EDIT 17-10-2007————————————–

A forma de resolverem ou tentarem resolver os problemas que afectam as vossas contas é contactar directamente o hi5 através desta página www.hi5networks.com/contact.html e exporem o vosso problema, talvez o resolvam.

No caso de usarem o hotmail e estarem a tentar recuperar a password do hi5 vejam na pasta de lixo electrónico ás vezes as mensagens do hi5 vão para lá directas!

Em principio e visto haver imensas pessoas com problemas no hi5 vou apresentar aqui uma nova forma para tentarmos resolver os vossos problemas… metam este post nos favoritos e vão visitando a ver se já tenho novidades!

—————————–EDIT 16-07-2007—————————————-
Muitos de vocês questionam porque é que não têm acesso ao HI5.com, a razão mais provável e caso estejam a aceder ao hi5 da escola ou do trabalho é que o administrator do sistema informático tenha bloqueado a acesso ao site! As razões podem ser muitas a mais comum é a perda de produtividade!!! Para “furarem” essas limitações tem que usar Web Proxies (o funcionamento depende de rede para rede) como descrito nos comentários. Ou podem experimentar uma alternativa em Português que é o Kroow ou o easyFlirt... que é na minha opinião é mais completo do que o HI5

————————————————-
E a pedido de varias famílias uma tradução mal feita para ingles:

hi5.security hole:

www.hi5.com allows users to send messages to others users, and users can include on that messages html code including remote inclusion off images (“”)… when a user receives a message he receives too a mail message with the new message notification and a direct link to the message without have to do login…

the problem: the server log keeps the GET and the REFERER for each request, and when the user click the mail link to the message he do the GET of the image on remote server, and the direct link to the message is keeped on the REFERER log, if you copy the link(on the REFERER) to the browser you have full control of the sender account..

836 comentários em “www.hi5.com falha de segurança…. entrar na conta de outros!!!”

  1. boas.. A uma semanita a tras algum estupido fechou me o hi5. injustamente… gostaria de ter o meu hi5 de volta, mas plos vistos, nao e possovel, visto que foi o hi5 que o eliminou. no entanto ao tentar entrar wm http://www.hi5.com, nao consigo, aparece me a seguinte mensagem : Acesso Recusado
    Não tens autorização para aceder a esta página.
    .
    Nao entendo pk nao csg sequer fazer outro hi5.

    gostaria que me ajudassem.

    obrigado

  2. nao consigo entrar no meu hi5 aparesse isto “O acesso á tua conta foi temporariamente restringido porque a tua conta pode estar em risco de utilização não autorizada. Tens de nos fornecer uma nova password antes de poderes fazer o login no hi5.

    Para alterares a tua password e manter a tua conta segura, clica aqui. Ao clicares neste link ser-te-á enviado um e-mail para [email protected] com as instruções para alterares a tua password. Se já não utilizas essa id de e-mail, contacta directamente o apoio ao cliente.

    Lamentamos qualquer incómodo que isso possa causar. Podes estar certo de que o hi5 está empenhado em proteger a segurança das contas dos membros.”

    e clicei onde diz clice aqui e nao recebi nada no meu mail…

  3. Olá!
    De há uns dias para cá que recebo mails a dizer que recebi mensagens no meu hi5 e quando abro a pagina nao tenho lá nada, para além de dizer que tenho 60 mensagens novas quando na realidade tenho 23 mensagens já lidas, se me puderem ajudar agradecia.
    Obrigada!!!

  4. Olá.
    Alguém me pode fazer o favor de me explicar porque é que me desaparevem amigos da minha lista de amigos no hi5 se eu nao os apago e eles também nao me eliminaram da lista deles, dito por eles próprios.
    E porque é que eu tenho x amigos e aparece na página do perfil y amigos?

  5. quis entrar no meu hi5 ,este não me aceitou a palavra passe devido as mudanças de pass que o “hi5” andou a por com medida de segurança. mas o meu hi5 estava registado em [email protected] e eu ja nao uzo essa conta do messenger porque perdi a pass, se fosse possivel repor a palavra passe para que possa continuar com os meus amigos e nao ter de fazer uma nova conta de hi5.

    espero pur uma resposta em [email protected]
    obrigado .

  9. Boa tarde..
    Volto a pedir que me ajudem,pois n consigo entrar na minha conta a mais de um mes,e agora se entrar por outra conta e entrar no meu hi5,aparece actualizacoes ,que adicionei amigos e nao sei que,e no entanto nao adicionei nem fiz nada,pois nem se quer consigo entrar..a serio,senhor Antonio campos,ajude me..pf
    Ainda aparece aquilo de restringido,nao sei que..ajude me..
    Agradeço a sua colaboraçao..
    Boa tarde!

  10. Boa tarde,
    Ajudem me!
    Andei com problemas por causa de pessoas k surgem como minhas amigas sem serem e ao tentar tiralas do hi5 bloqueei imagens e na consigo ver as fotos dos meus amigos nem algumas das minhas. A minha mascara tambem não a consigo ver nem consigo ver algumas mascaras para alterar.
    Ja tentei de tudo mas nada adianta , cada vez fica pior.
    como posso desbloquiar as imagens?

  11. ajudem me! faço o login apareçe a pagina inicial mas nao me deixa abrir nenhuma pagina de perfil incluindo a minha …o k é isto?

  12. Fg ainda n m dirigiram uma palavra sobre o meu assunto e nem enviam informações sobre a palavra passe agradecia que me ajudassem

  14. oi, tenho uma individua que me manda mensagens a ofender_m a mim e ao meu filho, e ela nem está adicionada aos meus amigos.
    gostava que me ajudassem a bloquea_la, porque ja tentei varias vezes mas ainda não consegui…pois ela esta a perturbar a mim e ao meu filho. obrigado!

  16. Olá

    Dum momento para outro o hi5 ficou todo desalinhado em relação ás 2 colunas base, passando a existir um enorme espaço entre as duas. Gostava que me ajudassem, dessem ajudas, dicas e conselhos porque acho que já tentei tudo ate colocar uma máscara deles e nada resulta. Obrigado!
    Mail
    [email protected]

  17. usurparam a minha plavra pass , ainda tentei pedir nova pass mas em vao no entanto conseguiram entrar no meu mail com suas palavras pass novas no qual nao consegui recuperar a minha e fizeram piripessias no qual eu fui alvo com ensultes e difamaçoes com nomes no qual nem os vou divulgar . Agradeçia que me ajudassem a resolver esta situaçao no entanto nao consigo a resolver sozinha nem com ajuda de alguns amigos. fico a espera duma resposta um muito obrigado

  19. amigos no dia 28 outubro quando quis entrar no meu hi5,este não me aceitou a palavra passe, eu gosto muito deste perfil, porque me deu muito trabalho a fazer, tem o nome albino o fundo e o leão sporting e ja tinhta cerca de 2000 amigos, sou bombeiro estou identificado como tal, agradeço
    me seja reposta a palavra passe para que possa continuar com os meus amigos.
    em alternativa fis outro hi5 com o E_mail [email protected]
    para onde devem mandar a palavra passe do mail de cima,
    obrigados por esta massada- albino

Os comentários estão fechados.