Nesse sábado, usuários do Orkut estão verificando uma falha de segurança que permite o ingresso em novas comunidades sem que o internauta expressamente aprove a ação, desde que esteja usando o “novo” Orkut. A recomendação, ao menos por enquanto, é que as pessoas não acessem a rede social enquanto o Google não se manifestar sobre o assunto.
Ao que tudo indica, a falha tem caráter XSS. Ou seja, um código armazenado em outro servidor é executado pelo navegador quando o usuário acessa o Orkut. É similar ao que aconteceu no Twitter na semana passada, quando outro código malicioso fazia com que os usuários publicassem atualizações sem autorização.
Portanto, não é preciso intervenção do usuário para ser infectado: basta acessar o link com o script malicioso para automaticamente começar a fazer parte de comunidades estranhas.
Na minha experiência particular, depois de abrir o Orkut, ingressei automaticamente em uma comunidade que possui apenas um caractere em formato de coração no título e a descrição “meu amor por você não para de crescer!”. No momento da publicação desse post, a comunidade tem mais de 210 mil membros.
Atualização às 12h53 | A brecha de segurança que está sendo explorada no Orkut só funciona na versão mais nova da rede social. Quem continua usando o “velho” Orkut não corre riscos, pois o serviço não executa script malicioso sem a autorização do usuário.
Atualização às 12h56 | Os amigos do Google Discovery recomendaram, por meio do perfil no Twitter, que os usuários não cliquem em imagens contendo a bandeira do Brasil. Parece que essa bandeira também é uma forma de acionar o script malicioso que explora a falha na segurança.
Atualização às 13h16 | O leitor Diego Carvalho conseguiu uma captura de tela com as bandeiras do Brasil que acabam por infectar os usuários do Orkut.
Evite essas bandeiras (imagem: Diego Carvalho) | Clique para ampliar
Atualização às 13h43 | O script malicioso que já foi relatado para o Google adiciona os usuários a uma comunidade chamada “Infectados pelo Vírus do Orkut”. Nesse momento, a comunidade tem mais de 180 mil participantes. Na descrição dela, o administrador afirma: “Nada foi instalado em seu computador (a não ser o cookie de controle) e nenhuma informação pessoal foi roubada”.
Recomendamos que os usuários do Orkut verifiquem se estão participando das comunidades com um coração no título e com o nome “Infectados pelo Vírus do Orktut”. Em caso positivo, o ideal é deixar de participar essas comunidades e fazer uma limpeza nos cookies do navegador (o CCleaner é uma boa ferramenta para isso).
Atualização às 19h24 | De acordo com o Google Discovery, o Google finalmente se manifestou sobre o assunto. A empresa pede que os usuários desativem o JavaScript antes de acessar o Orkut. Veja abaixo o comunicado na íntegra.
“Nós estamos trabalhando ativamente para corrigir uma vulnerabilidade que permite um ataque XSS no orkut.com que foi descoberta há várias horas. Nossa análise inicial do código do script não revelou qualquer atividade maliciosa. No entanto, aconselhamos aos usuários do orkut que desativem temporariamente o Javascript para ajudar a proteger as suas contas, enquanto nós trabalhamos em uma correção.”
Obrigado a todos os leitores que nos alertaram para a falha!
Assine pelo iTunes
Assine pelo Feed
Mudaram a bandeirinha também. Tme um cara com uma bandeira vermelha e uma flor branca dentro.
No meu caso, eu vi a bandeira do brasil, até abri o recado, passei a mão em cima e tudo, e não abriu nada. Naõ vi a “Pegadinha do mallandro” nem entrei nas comunidades.
por enquanto…
Pessoal, um print do “Inspecionar elemento” do Google Chrome, parece que o link está encurtado com o site http://www.cw.cx/, que neste momento está fora do ar, vejam o print: http://twitpic.com/2rys4y
Eu estou no orkut e ainda não fui infectado, mas também não acessei minha página de recados, só estou acompanhando as atualizações no Home. A outra suposição é que com o endereõ cw.cx fora do ar, o script não está se instalando.
Uso o velho orkut e fui infectada. :s
Saiu um post no G1: http://g1.globo.com/tecnologia/noticia/2010/09/mais-de-180-mil-pessoas-sao-infectadas-em-bug-do-orkut.html
O mais bizarro pra mim é meu avatar em comentários de blogs ter virado a maldita bandeira do brasil!!!
Já achei duas versões com um link para o domínio cw.cx e outro para i.cx
Nova notícia do G1 deixa claro que o erro afeta página de recados…
http://g1.globo.com/tecnologia/noticia/2010/09/falha-do-orkut-volta-ser-utilizada-e-atinge-mais-de-130-mil-usuarios.html
É triste ver que a melhor cartada em redes sociais do Google é esse Orkut. A última vez que usei, antes de hoje, tinha sido para notar exatamente que ele nem funciona sem JavaScript. Como eles pedem para o usuário desligar o JS se a rede nem carregaria sem ele?
Acho que eles pedem: Não use o orkut.
é soh mudar para a versão antiga que não tem problema.
e a noticia do G1 tem alguns erros nas informações
Só pra constar, já estão usando variações do script de forma bem mais maliciosa.
E eu tenho a impressão de que o Google não usa o próprio produto. Se usasse, saberia que nem o Orkut, nem o Gmail, e alguns outros serviços não carregam sem o js habilitado no navegador. Por “não carrega”, entendam “Mostra uma página com um aviso de que o javascript deve ser habilitado, ou não acessaremos nada.”
Sem mais.
Recebi esta mensagem com a bandeira, mas como uso o Orkut antigo, não tive problemas.
Ah é, e as pessoas que usam ORKUT sabem desativar o javascript..
Sou só eu que acho que o Orkut foi deixado pro Google Brasil e por isso só piora?
Ainda bem que parei usar o orkut faz tgempo
eu peguei fama de punheteiro na minha sala porque criei vários tópicos com o título NINFETAS SAFADAS.
mereço.
Resolvido, segundo o G.Discovery
http://googlediscovery.com/2010/09/25/bug-no-orkut-afeta-milhares-de-usuarios/
Problema resolvido, informa o Google Discovery:
http://googlediscovery.com/2010/09/25/bug-no-orkut-afeta-milhares-de-usuarios/
ps: sorry se foi 2x, não apareceu aqui.. então não sei enquanto escrevo
Vindo do Orkut, não me surpreende.
Fui entrar no orkut agora e o Kaspersky denunciou alerta de pishing como se eu tivesse entrado num site chamado “coisasqueaprendi.com”…
O “virus” só infectou milhares porque hoje é sabado, se fosse dia de semana, com todo mundo ocupado em seus serviços e talz… teria infectado milhões!! XD
Tô vendo um monte de gente no meu Orkut que continua sendo afetado. E tô usando o NoScript e ele tá bloqueando, nesse exato momento, scripts vindo de sites estranhos. Então o problema não foi resolvido.
errr desativa o jscript não poderra acessar o orkut burros!
Exato.
Pra tudo esses mimados fazem comunidade. -.-
Pessoal,
Notei ao ler meus tweets hoje pela manhã que esta brecha de segurança do Orkut utiliza um comando também no twitter para enviar o endereço da comunidade aos contatos do twitter, enviando apenas o endereço num tweet em seu nome, SEM pedir autorização do usuário. Revisem suas conexões também no twitter.
A gente não fica sossegado com histórias e acontecimentos de infectação de vírus. O certo é realmente se precaver e estar atento as notícias e avisos sobre vírus.
Ainda não acessei minha página e vou demorar para acessar.
Valeu.
Fim de semana recheado de bugs ein Google