jueves, 25 de enero de 2007

Houston...we got a hi5 problem

Esto lo descubri ayer, buscando solucion a un bug/exploit en la pagina de hi5, donde alguien te manda un simple testimonial o comenta sobre alguna foto, ahi la persona puede ingresar un simple codigo html y listo, este codigo sobreescribe el del propio hi5 causando que esa pagina se corrompa, incluso si deseas borrar ese testimonial, no vas a poder porque se deshabilita el boton de "eliminar", ingenioso.

Otro bug es que en un conocido buscador tipees un codigo que es la variable con el que hi5 guarda los logins en su memoria y que en este buscador puedas darle click a los resultados, ingresando como si tu te logearas con la cuenta de esta persona "X" pudiendo modificar lo que quieras, hasta incluso sacar sus datos personales y mail.

Los dos problemas de arriba los comprobe personalmente, al primero me creé una cuenta nueva y puse un testimonial con el codigo, resultado : pagina sin poder recibir mas testimoniales.
El segundo, le di click a algunos resulados de la busqueda y pude ingresar a paginas hi5 de otras personas (incluso ya "hackeadas").

Me parece un irresponsabilidad de parte de hi5 que siga con este servicio, deberia cerrarlo hasta buscar una solucion, es una falta grave a nuestra informacion privada. porque al poder entrar y sacar la informacion del mail, yo puedo sustraer el password y usar.... bueno, no sigo porque no quiero que nadie robe passwords de la cuenta de mail.
Esta de más decir que a las paginas que entré, a nadie le modifiqué nada, es más, les di logout en sus paginas para ver si se desactivan de este buscador.

Ya hay muchos profiles que tienen en su titulo "hackeado por XxxXXxxX" pero lo que en realidad son los infelices lammers que se creen inteligentes por darle click a algo y entrar al hi5 de una persona, y lo que mas me sorprende es que son peruanos, y estoy seguro que son los que menos educación y/o formación civica tienen, !@#!#!!@#$%^$&#@@#!@! (editado :P) , bueno...como siempre digo, Hay de todo.

Aca no voy a poner como hacerlo ni los codigos que se utiliza, asi es que no pregunten, y si has sido victima en tu pagina hi5, lo siento, culpa al servicio yanki.

Mi consejo seria que no entren al hi5.com por ahora, no modifiquen nada o que lo reporten a support hasta que se dignen a hacer algo con esto.

Por lo que vi en otros sitios, encontraron algunos bugs más, como forzar a que alguien te agregue a su lista de amigos, aunque esto no lo comprobé.

2 comentarios:

Anónimo dijo...

hola, bueno a mi me paso lo primero, me mandaron un testimonial que ahora no puedo eliminar y hace que no se vean mis testimoniales anteriores, porfa dimelo, no me interesa saber como se manda, xq no es mi intención mandarselo a alguien, pero tanto mi hi5 como el d mi enamorado han sido dañados con eso.
Se que dijiste que no lo dirias, pero ya he buscado de distintas formas como eliminarlo y la verdad esq no encuentro nada :( Ahora puse blokear todo tipo de entrada a mi pagina, pero porfas ayudamee :)!!!!! revisare tu respuesta en la semana si, porfas dame una esperanza bye!

Anónimo dijo...

oie y en caso de que no lo desees poner aqui porfas mandame a mi correo la solucion! porq de veras me desespera no poder sacar esa cosa, escribe a ibetts8_mw@hotmail.com, y si esq puedes borrar estos comentarios porfa despues q lo leas borralo para q no copien mi direccion...gracias