Di recente ci sono habbo che postano topic nei gruppi che dicono di incollare un codice Javascript nella barra dei link e alcuni hanno anche creato un sito come quello.
Dato che tutto questo mi ha incuriosito, mi sono documentato, il codice in questione è un codice javascript, ma più in particolare un link fantastma.
È un attacco via XSS, il link è criptato in non so quale metodo, io credevo habbo fosse invulnerabile a XSS
Probabilmente i tecnici della sulake non hanno disabilitato l' opzione server to server nel php.ini, quindi semplicemente lo script PHP della pagina preleva il codice sorgente delle pagine per cambiare e-mail e password, preleva il tuo app key e con un key app cambia i dati.
In meno di 1 minuto ti sono stati cambiate e-mail e password, non vedo opzioni plausibili dunque..
C'è anche una guida su come scammare un utente utilizzando un metodo senza codice javascript, ma per evitare spam non la linko.
Ho trovato anche il codice sorgente non criptato ...
Ho segnalato il problema al Player Support di Habbo, ecco la loro risposta:
ti ringraziamo davvero per l'enorme interesse dimostrato. Apprezziamo i tuoi sforzi e siamo felici di comunicarti che i nostri Tecnici sono già a conoscenza del problema e faranno di tutto per la sicurezza di tutti gli Habbo.
Nel frattempo ti invitiamo ad allertare tutti i tuoi Amici, così da informarli del pericolo.
Evitate di cascare in questi fake ... NON ESISTONO TRUCCHI PER HABBO e MAI NE ESISTERANNO
