Erro de autenticacao no Globo.com

[hUNTEr]

No ultimo 6 de agosto estava verificando meu email no Globo.com e resolvi alterar meu cadastro.
Reparei que a pagina de alterar cadastro nao utilizava sessao e entao resolvi dar uma olhada no codigo fonte e pronto... encontrei uma "falha" de autenticacao que permite alterar os dados cadastrais de qualquer usuario. Para saber mais acesse:
http://geocities.yahoo.com.br/hunterarena

hUNTEr

[hUNTEr]

me perguntaram se eu ja informei o Globo.com sobre a falha.
a resposta eh obvia:
informei antes de publicar esta informacao em qualquer lugar!

[hUNTEr]

acabei de receber a resposta deles:
---------------------------------------------------------------------
Sua participação é muito importante. Agradecemos suas sugestões e estamos certos que elas nos ajudarão a aprimorar cada vez mais os nossos serviços.


Obs: Solicitamos não responder a este e-mail. Para novo contato acesse novamente o "Fale Conosco" do nosso Portal.
---------------------------------------------------------------------

[®µ§h]

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Citação (hUNTEr @ Ago. 07 2002, 11:01)</td></tr><tr><td id="QUOTE">No ultimo 6 de agosto estava verificando meu email no Globo.com e resolvi alterar meu cadastro.
Reparei que a pagina de alterar cadastro nao utilizava sessao e entao resolvi dar uma olhada no codigo fonte e pronto... encontrei uma &quot;falha&quot; de autenticacao que permite alterar os dados cadastrais de qualquer usuario. Para saber mais acesse:
http://geocities.yahoo.com.br/hunterarena

hUNTEr[/QUOTE]<span id='postcolor'>
Engraçado hUNTEr é que eu também tenho uma conta no Globo e a fiz justamente para fazer testes de vulnerabilidades como essa que você citou. Tive a mesma percepção que você sobre a Sessão. O problema é mesmo de imprudência, porque eu mandei 2 emails ao administrador, mas mesmo assim, o problema continua lá...

[hUNTEr]

o que eh muito estranho rush, pq esta falha eh grave e pode prejudicar milhares de usuarios do Globo.com

[®µ§h]

É, o problema lá é sério...
Não sei se é o mesmo ADM, mas há algum tempo, vi uma vulnerabilidade no site do Jornal o Globo e entrei em contato com o ADM, parece que ele não deu a mínima... foi só a conta... semana passada desconfiguraram o site...

[hUNTEr]

retirei o html-exploit para a falha do www.globo.com do meu site, para evitar problemas.

[®µ§h]

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Citação (hUNTEr @ Ago. 07 2002, 11:53)</td></tr><tr><td id="QUOTE">retirei o html-exploit para a falha do www.globo.com do meu site, para evitar problemas.[/QUOTE]<span id='postcolor'>
Certíssimo... concordo pelos motivos que lhe disse anteriormente... ok

[hUNTEr]

estou recebendo varios emails me pedindo o exploit ou reclamando que a falha nao existe...
1 - nao vou enviar o exploit para ninguem &#33; caso vc queira testar, escreva o seu exploit.

2 - a falha ainda existe e ainda eh exploravel. leia o texto no meu site e da uma pesquisada...

Fui&#33;

[®µ§h]

</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Citação (hUNTEr @ Ago. 07 2002, 17:30)</td></tr><tr><td id="QUOTE">estou recebendo varios emails me pedindo o exploit ou reclamando que a falha nao existe...
1 - nao vou enviar o exploit para ninguem &#33; caso vc queira testar, escreva o seu exploit.

2 - a falha ainda existe e ainda eh exploravel. leia o texto no meu site e da uma pesquisada...

Fui&#33;[/QUOTE]<span id='postcolor'>
É.. eu tinha feito um exploit tb.. muito pareceido com o seu.. &nbsp;HTML e tal...
Quando você postou a falha aqui no forum, corri lá e testei o site novamente, não tava acreditando que os ADMs não tinham corrigido mesmo depois de eu ter avisado há algum tempo atrás... pra minha surpresa, a falha ainda tava lá.. Meu Deus... não aprendem...