Am spus-o in trecut si o sa mai spun in continuare acelasi lucru, retelele sociale pot prezenta un adevarat pericol pentru viata noastra privata. Multi nu inteleg pericolele, putini sunt cei care constientizeaza ca oricand poti deranja pe cineva sau poti deveni victima unui atac random.

Azi voi dezvolta subiectul hi5 privacy si cine stie, in timp poate voi aduce in discutie si celelalte retele sociale majore.

Cati dintre romani au profil pe hi5? Cateva milioane spun statisticile. Cati dintre ei au citit termenii si conditiile afisate pe site si cunosc acele “features” ale sistemului de socializare care le pot aduce probleme in viata personala? Va garantez ca foarte putini.

Primele semne ale neplacerilor prezentate de retelele de socializare au aparut (in Romania), odata cu aparitia site-urilor cocalari.com si pitzipoanca.org. Simple bloguri ce doar preiau filmulete si imagini din surse publice, majoritatea protagonistilor prezenti in posturile zilnice fiind membri ai hi5.com. Nu discutam mai mult despre cele doua bloguri pentru ca deja le stiti cu totii. Acum discutam despre un nou “serviciu” pus la dispozitia oricarei persoane din Romania.

hi5 email finder. Ati auzit de acest site si de ceea ce ofera? Este un site destul de unic in opinia mea care va pune la dispozitie adresele de mail folosite de persoanele ce s-au inregistrat pe hi5. Folosindu-se de anumite “features” ale retelei de socializare, creatorul acestui serviciu a reusit sa puna la punct un site care poate face deliciul amatorilor de agatat pe net. Modul de utilizare este extrem de simplu. Intri pe un profil de hi5, copiezi linkul din bara de adrese, ii dai paste in casuta de search a serviciului de cautare si cu un simplu enter ai aflat adresa de mail a proprietarului de cont. Este cel mai stupid friendly mod de a afla mailul cuiva de pe hi5. Nu functioneaza perfect, rateurile fiind destule, insa are o relevanta URIASA tinand cont de numarul de utilizatori ai retelei de socializare.

Am facut un mic test mai devreme. Am cautat pe Google “site:hi5.com andu” si m-am folosit de linkul primului rezultat pentru a verifica daca pot gasi sau nu adresa de mail cu care a fost creeat profilul. Ce credeti? A functionat? Da. A functionat perfect. Mi-a fost returnata adresa suplimentul a.t. yahoo.com.

Hai sa testam ceva mai interesant. Artista noastra Elena Gheorghe. O vedeta parca e mai interesanta cand e vorba de teste. Introducem linkul ei de profil (http://hi5.com/friend/p417149441–Elena_Gheorghe–html) si dam search. Bingo. Functioneaza.

Cel mai interesant mi s-a parut  faptul ca nu conteaza setarile profilului. E profil privat? Degeaba. Esti la fel de expus ca si restul. Puteti testa acest lucru folosind linkul http://gaciu-andrei.hi5.com/friend/p68584936–Gaciu_Andrei–html.

Bun, se poate afla o adresa de mail. Mare lucru, pot spune unii. Da, e mare lucru. Adresa voastra de mail este un bun pe care trebuie sa puneti mare pret. Este cel mai bun punct de pornire cand vine vorba de aflarea anumitor detalii despre persoana voastra. Cati dintre noi nu si-au facut publica adresa de mail macar o data? Cati dintre utilizatorii de internet nu au postat pe site-uri de anunturi adresa lor de mail la un loc cu numarul de telefon? Si cate persoane folosesc adrese de mail ce contin numele lor reale. Posibilitatile de a afla totul despre o persoana folosindu-te doar de o adresa de mail sunt mari atata timp cat stii ce sa cauti, unde sa cauti si cum sa cauti.

Am inteles in mare parte modul in care respectivul sistem functioneaza. Nu voi arata cu cele doua degete aratatoare doar catre hi5 dar este un exemplu concludent pentru ca deja exista uneltele necesare pentru a fi punctul de atractie al acestui articol. Majoritatea retelelor sociale sunt expuse la exact aceeasi metoda si cu mici tweak-uri la scriptul respectiv se poate face un mail search pe foarte multe site-uri pline de utilizatori inconstienti si coderi care nu calculeaza riscurile pe care le prezinta anumite features. Printre aceste site-uri se afla facebook si myspace, doi giganti ai acestei nise. Pe cat facem pariu ca in timp vor aparea site-uri care vor afisa adresele voastre de mail folosite pe facebook sau myspace?

Cam atat am avut de zis momentan. Cu siguranta peste ceva timp voi reveni asupra subiectului.

http://sla.ckers.org/forum/read.php?3,5180

Screenshots:

• http://i44.tinypic.com/vnjl10.png
• http://i41.tinypic.com/25j9zle.png
• http://i37.tinypic.com/294t26t.png
• http://i35.tinypic.com/qnpf9y.png
• http://i38.tinypic.com/23r5mw.png
• http://i37.tinypic.com/2rfe92u.png
• http://i35.tinypic.com/a57s5e.png

Author: TinKode a.k.a. cOde.breaker

Video/screenshots source: http://rstcenter.com/forum/17443-nasa-gov-proof.rst

Yahoo! meme is an advanced twitter clone service. This service doesn’t have (yet) so many users but it’s a matter of time untill Yahoo! will pump traffic to meme.yahoo.com. And this can lead to a PR and security disaster. Why I said that? Let’s think for a moment.

1. Yahoo! is full with xss vulnerabilities.
2. Yahoo! meme is a subdomain of yahoo.com.
3. Yahoo! meme subdomain use the same cookies from yahoo.com (Y and T). BAD IDEEA!

So, Yahoo! xss + Yahoo! meme = xss worm in a potential huge microblogging service. All of this are possible with just a click on the wrong link from a regular user.

We can expect to see large amount of attacks on Yahoo! meme. It doesn’t matter if those attacks are targeting users to increase traffic on other sites, to steal Yahoo! cookies or for malware spreading. It’s a fact that very soon we will see the biggest xss attack targeting Yahoo! users.

Bonus: you can use “invite friends” option for mail bombing.