O ingresso nessa comunidade não foi solicitado | Clique para ampliar

Nesse sábado, usuários do Orkut estão verificando uma falha de segurança que permite o ingresso em novas comunidades sem que o internauta expressamente aprove a ação, desde que esteja usando o “novo” Orkut. A recomendação, ao menos por enquanto, é que as pessoas não acessem a rede social enquanto o Google não se manifestar sobre o assunto.

Ao que tudo indica, a falha tem caráter XSS. Ou seja, um código armazenado em outro servidor é executado pelo navegador quando o usuário acessa o Orkut. É similar ao que aconteceu no Twitter na semana passada, quando outro código malicioso fazia com que os usuários publicassem atualizações sem autorização.

Portanto, não é preciso intervenção do usuário para ser infectado: basta acessar o link com o script malicioso para automaticamente começar a fazer parte de comunidades estranhas.

Na minha experiência particular, depois de abrir o Orkut, ingressei automaticamente em uma comunidade que possui apenas um caractere em formato de coração no título e a descrição “meu amor por você não para de crescer!”. No momento da publicação desse post, a comunidade tem mais de 210 mil membros.

Atualização às 12h53 | A brecha de segurança que está sendo explorada no Orkut só funciona na versão mais nova da rede social. Quem continua usando o “velho” Orkut não corre riscos, pois o serviço não executa script malicioso sem a autorização do usuário.

Atualização às 12h56 | Os amigos do Google Discovery recomendaram, por meio do perfil no Twitter, que os usuários não cliquem em imagens contendo a bandeira do Brasil. Parece que essa bandeira também é uma forma de acionar o script malicioso que explora a falha na segurança.

Atualização às 13h16 | O leitor Diego Carvalho conseguiu uma captura de tela com as bandeiras do Brasil que acabam por infectar os usuários do Orkut.

Evite essas bandeiras (imagem: Diego Carvalho) | Clique para ampliar

Atualização às 13h43 | O script malicioso que já foi relatado para o Google adiciona os usuários a uma comunidade chamada “Infectados pelo Vírus do Orkut”. Nesse momento, a comunidade tem mais de 180 mil participantes. Na descrição dela, o administrador afirma: “Nada foi instalado em seu computador (a não ser o cookie de controle) e nenhuma informação pessoal foi roubada”.

Recomendamos que os usuários do Orkut verifiquem se estão participando das comunidades com um coração no título e com o nome “Infectados pelo Vírus do Orktut”. Em caso positivo, o ideal é deixar de participar essas comunidades e fazer uma limpeza nos cookies do navegador (o CCleaner é uma boa ferramenta para isso).

  • Download | CCleaner
  • Baixatudo | CCleaner

Atualização às 19h24 | De acordo com o Google Discovery, o Google finalmente se manifestou sobre o assunto. A empresa pede que os usuários desativem o JavaScript antes de acessar o Orkut. Veja abaixo o comunicado na íntegra.

“Nós estamos trabalhando ativamente para corrigir uma vulnerabilidade que permite um ataque XSS no orkut.com que foi descoberta há várias horas. Nossa análise inicial do código do script não revelou qualquer atividade maliciosa. No entanto, aconselhamos aos usuários do orkut que desativem temporariamente o Javascript para ajudar a proteger as suas contas, enquanto nós trabalhamos em uma correção.”

Obrigado a todos os leitores que nos alertaram para a falha!

Receba mais sobre Orkut na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Thássius Veloso

Thássius Veloso

Editor

Thássius Veloso é jornalista especializado em tecnologia e editor do Tecnoblog. Desde 2008, participa das principais feiras de eletrônicos, TI e inovação. Também atua como comentarista da GloboNews, palestrante, mediador e apresentador de eventos. Tem passagem pela CBN e pelo TechTudo. Já apareceu no Jornal Nacional, da TV Globo, e publicou artigos na Galileu e no jornal O Globo. Ganhou o Prêmio Especialistas em duas ocasiões e foi indicado diversas vezes ao Prêmio Comunique-se.

Relacionados

Ainda posso recuperar fotos do Orkut?
Ainda posso recuperar fotos do Orkut?
Orkut promete nova rede social; site oficial é atualizado após quase 5 anos
Orkut promete nova rede social; site oficial é atualizado após quase 5 anos
A gente quer o Orkut de volta? Sim, mas pelos motivos errados
A gente quer o Orkut de volta? Sim, mas pelos motivos errados
Sentimos falta de uma internet que não existe mais
Sentimos falta de uma internet que não existe mais
Orkut voltou? Clone da rede social ganha app para Android
Orkut voltou? Clone da rede social ganha app para Android
Orkut e BuddyPoke voltam à tona com Avatares do Facebook
Orkut e BuddyPoke voltam à tona com Avatares do Facebook
Orkut vai encerrar as atividades em 30 de setembro
Orkut vai encerrar as atividades em 30 de setembro
Qual foi a primeira rede social criada na internet?
Qual foi a primeira rede social criada na internet?
Inventaram um clone do Orkut que funciona (mas cuidado)
Inventaram um clone do Orkut que funciona (mas cuidado)
Exclusivo: Brecha no site da Enel permitia baixar faturas de outros clientes
Exclusivo: Brecha no site da Enel permitia baixar faturas de outros clientes