Recebi hoje uma mensagem sobre uma GRAVE falha de segurança no webmail do Terra. Através da falha é possível ter acesso ao webmail da pessoa que enviou o email.
Funciona assim. Alguém com conta no Terra manda uma mensagem com uma imagem no corpo. Por algum motivo a imagem não carrega e você pede para carregar a imagem através do botão direito. Neste momento a página carregada passa a ser do webmail da pessoa que te enviou a mensagem e não a imagem.
Você passa a ter acesso a todas as mensagens e pode enviar emails sem qualquer pedido de senha. O que não dá para fazer é entrar na página de configurações da conta, mas é possível vasculhar todos os contatos e pastas de mensagens. Opções do webmail também são acessíveis. Imagino que se você tiver a ID de outras contas de email do Terra o acesso também funcione, porém isto extrapola minha capacidade de hacker, e por isso não consegui testar. FUNCIONA!
Eu testei na minha máquina assim. A pessoa que recebeu em sua conta no GMAIL uma mensagem com imagem de uma conta do TERRA. Esta pessoa me encaminhou a mensagem e eu mandei ver a imagem que não carregava no GMAIL. A página do GMAIL deveria ficar aberta e a imagem carregada em outra, porém a página do GMAIL foi substituída pela página do TERRA para escrever uma nova mensagem! Apenas uma mensagem de erro aparece: “Não foi possível completar a operação: Registro não encontrado”.
Não sei se o problema é generalizado ou não, mas uma coisa é certa. Se você puder evitar de mandar imagens da sua conta no Terra, faça-o. Afinal, nem clicando em SAIR a falha é sanada. Tentei ver mensagens antigas que eu tinha de pessoas do Terra e a falha não funcionou. Não posso publicar a URL que usei por que seria sacanagem com o dono da conta. E eu fiquei pasmo de ver a falha acontecer bem na minha máquina na frente dos meus olhos.
Aliás, alguém conhece alguém que trabalha no Terra?
ATUALIZADO: Conversando com outro amigo por email consegui uma ID de uma conta do Terra para testar e pimba! Tive acesso a conta da pessoa. AGORA ESTOU COM MAIS MEDO AINDA. Sabendo a ID e a URL é só entrar e fazer a festa. CARACA MALUCO!!!
ATUALIZADO 2: Deixando claro: O problema não parece ser apenas no envio de mensagens com imagens em anexo. Basta ter a URL ou a ID de uma conta do Terra para ter acesso ao webmail. Fiz os testes de acesso no dia 4 entre 22 h e 1 da manhã do dia 5/10
ATUALIZADO 3: Recebi a dica do Diego, da Casa do Galo. Ele recebeu a mensagem de um parente e ao solicitar o carregamento da imagem teve acesso a caixa de mensagem do cara.
ATUALIZADO 4: A falha parece que foi corrigida. Tanto a falha pela imagem, quanto o acesso direto pela URL + ID apresentam a mensagem correta de falha de sessão.
 Hd Externo 1 Tera Samsung(frete Grátis) Ps3 Notebook Mais info» R$ 345.00 até 18x de 25.88 |  Hd Externo De Bolso 1tera 1000gb Samsung Ou Toshiba Mais info» R$ 330.00 até 18x de 24.75 |  Hd Externo De Bolso 1tera 1000gb Samsung Super Slim Mais info» R$ 330.00 até 18x de 24.75 |  Bicicleta Canadian X Terra 2011 Mais info» R$ 799.00 até 18x de 59.93 |  Bicicleta Canadian X Terra Aro 26 Com 24 Marchas Mais info» R$ 839.00 até 18x de 62.93 |  Dvr Stand Alone 16 Canais 480x480 3g Vga Hd 1 Tera Sata Mais info» R$ 1,279.99 até 18x de 96.00 |
| Vitrine Tecnoblog |
1457 Seguidores
Lucia Freitas
/ 05/10/2007Não era o caso de avisar o povo lá?
bj
Pedro Villalobos
/ 05/10/2007PS: 10 menos 1 e 10? O_O
Tiago Celestino
/ 05/10/2007Diego
/ 05/10/2007O negócio é bastante sério mesmo!
bernabauer
/ 05/10/2007Tiago Celestino
/ 05/10/2007wm116.ig.com.br/inmail/inmail....
Vê se consegue Berna.
bernabauer
/ 05/10/2007osny
/ 05/10/2007Me ajude
/ 05/10/2007Que falha é esse da hotmail??
E aqui, mandem uma url aí do terra pra eu [igual criança pidona]testar também[/igual criança pidona].
Grato desde..
bernabauer
/ 05/10/2007Tiago Celestino
/ 05/10/2007bernabauer
/ 05/10/2007