Falha de segurança no WebMail do Terra
Publicado em 04.10.07 @ 23:31 | Internet
Compare preços : Terra, webmail, hacker.
Recebi hoje uma mensagem sobre uma GRAVE falha de segurança no webmail do Terra. Através da falha é possível ter acesso ao webmail da pessoa que enviou o email.
Funciona assim. Alguém com conta no Terra manda uma mensagem com uma imagem no corpo. Por algum motivo a imagem não carrega e você pede para carregar a imagem através do botão direito. Neste momento a página carregada passa a ser do webmail da pessoa que te enviou a mensagem e não a imagem.
Você passa a ter acesso a todas as mensagens e pode enviar emails sem qualquer pedido de senha. O que não dá para fazer é entrar na página de configurações da conta, mas é possível vasculhar todos os contatos e pastas de mensagens. Opções do webmail também são acessíveis. Imagino que se você tiver a ID de outras contas de email do Terra o acesso também funcione, porém isto extrapola minha capacidade de hacker, e por isso não consegui testar. FUNCIONA!
Eu testei na minha máquina assim. A pessoa que recebeu em sua conta no GMAIL uma mensagem com imagem de uma conta do TERRA. Esta pessoa me encaminhou a mensagem e eu mandei ver a imagem que não carregava no GMAIL. A página do GMAIL deveria ficar aberta e a imagem carregada em outra, porém a página do GMAIL foi substituída pela página do TERRA para escrever uma nova mensagem! Apenas uma mensagem de erro aparece: “Não foi possível completar a operação: Registro não encontrado”.
Não sei se o problema é generalizado ou não, mas uma coisa é certa. Se você puder evitar de mandar imagens da sua conta no Terra, faça-o. Afinal, nem clicando em SAIR a falha é sanada. Tentei ver mensagens antigas que eu tinha de pessoas do Terra e a falha não funcionou. Não posso publicar a URL que usei por que seria sacanagem com o dono da conta. E eu fiquei pasmo de ver a falha acontecer bem na minha máquina na frente dos meus olhos.
Aliás, alguém conhece alguém que trabalha no Terra?
ATUALIZADO: Conversando com outro amigo por email consegui uma ID de uma conta do Terra para testar e pimba! Tive acesso a conta da pessoa. AGORA ESTOU COM MAIS MEDO AINDA. Sabendo a ID e a URL é só entrar e fazer a festa. CARACA MALUCO!!!
ATUALIZADO 2: Deixando claro: O problema não parece ser apenas no envio de mensagens com imagens em anexo. Basta ter a URL ou a ID de uma conta do Terra para ter acesso ao webmail. Fiz os testes de acesso no dia 4 entre 22 h e 1 da manhã do dia 5/10
ATUALIZADO 3: Recebi a dica do Diego, da Casa do Galo. Ele recebeu a mensagem de um parente e ao solicitar o carregamento da imagem teve acesso a caixa de mensagem do cara.
ATUALIZADO 4: A falha parece que foi corrigida. Tanto a falha pela imagem, quanto o acesso direto pela URL + ID apresentam a mensagem correta de falha de sessão.
Compare preços : Terra, webmail, hacker.
Ou visite o Shopping BernaBauer.com para desfrutar de ofertas irresistíveis.
Ofertas Submarino
 Axé Bahia: Terra Samba R$ 19,90 |  Terra Mix R$ 19,90 |  Terra de Sol Selection One R$ 34,90 |  Nova Série: Terra Samba R$ 9,90 |
 Servidor de E-mail Linux R$ 65,00 6X sem juros de R$ 10,83 no cartão |  I321 GSM com Câmera 1.3MP, MP3 Player e Filmadora R$ 699,00 12X sem juros de R$ 58,25 no cartão |  Internet Esgotado |  Pro Correio Open Source Esgotado |
 Dossiê Hacker R$ 69,90 6X sem juros de R$ 11,65 no cartão |  Treinamento Profissional Anti-hacker R$ 14,95 |  Guia do Hacker: Desvende Todos os Segredos do Submundo Digital R$ 9,90 |  Universo H4CK3R: Conheça os Segredos do Submundo Hacker! R$ 9,90 |
Não era o caso de avisar o povo lá?
bj
PS: 10 menos 1 e 10? O_O
O negócio é bastante sério mesmo!
http://wm116.ig.com.br/in...
Vê se consegue Berna.
Que falha é esse da hotmail??
E aqui, mandem uma url aí do terra pra eu [igual criança pidona]testar também[/igual criança pidona].
Grato desde..