Notícias Antivírus e Segurança

Brecha de segurança no Orkut: não acesse a rede social

Thássius Veloso
Por

As melhores ofertas,
sem rabo preso

Nesse sábado, usuários do Orkut estão verificando uma falha de segurança que permite o ingresso em novas comunidades sem que o internauta expressamente aprove a ação, desde que esteja usando o “novo” Orkut. A recomendação, ao menos por enquanto, é que as pessoas não acessem a rede social enquanto o Google não se manifestar sobre o assunto.

O ingresso nessa comunidade não foi solicitado | Clique para ampliar

Ao que tudo indica, a falha tem caráter XSS. Ou seja, um código armazenado em outro servidor é executado pelo navegador quando o usuário acessa o Orkut. É similar ao que aconteceu no Twitter na semana passada, quando outro código malicioso fazia com que os usuários publicassem atualizações sem autorização.

Portanto, não é preciso intervenção do usuário para ser infectado: basta acessar o link com o script malicioso para automaticamente começar a fazer parte de comunidades estranhas.

Na minha experiência particular, depois de abrir o Orkut, ingressei automaticamente em uma comunidade que possui apenas um caractere em formato de coração no título e a descrição “meu amor por você não para de crescer!”. No momento da publicação desse post, a comunidade tem mais de 210 mil membros.

Atualização às 12h53 | A brecha de segurança que está sendo explorada no Orkut só funciona na versão mais nova da rede social. Quem continua usando o “velho” Orkut não corre riscos, pois o serviço não executa script malicioso sem a autorização do usuário.

Atualização às 12h56 | Os amigos do Google Discovery recomendaram, por meio do perfil no Twitter, que os usuários não cliquem em imagens contendo a bandeira do Brasil. Parece que essa bandeira também é uma forma de acionar o script malicioso que explora a falha na segurança.

Atualização às 13h16 | O leitor Diego Carvalho conseguiu uma captura de tela com as bandeiras do Brasil que acabam por infectar os usuários do Orkut.

Evite essas bandeiras (imagem: Diego Carvalho) | Clique para ampliar

Atualização às 13h43 | O script malicioso que já foi relatado para o Google adiciona os usuários a uma comunidade chamada “Infectados pelo Vírus do Orkut”. Nesse momento, a comunidade tem mais de 180 mil participantes. Na descrição dela, o administrador afirma: “Nada foi instalado em seu computador (a não ser o cookie de controle) e nenhuma informação pessoal foi roubada”.

Recomendamos que os usuários do Orkut verifiquem se estão participando das comunidades com um coração no título e com o nome “Infectados pelo Vírus do Orktut”. Em caso positivo, o ideal é deixar de participar essas comunidades e fazer uma limpeza nos cookies do navegador (o CCleaner é uma boa ferramenta para isso).

Atualização às 19h24 | De acordo com o Google Discovery, o Google finalmente se manifestou sobre o assunto. A empresa pede que os usuários desativem o JavaScript antes de acessar o Orkut. Veja abaixo o comunicado na íntegra.

“Nós estamos trabalhando ativamente para corrigir uma vulnerabilidade que permite um ataque XSS no orkut.com que foi descoberta há várias horas. Nossa análise inicial do código do script não revelou qualquer atividade maliciosa. No entanto, aconselhamos aos usuários do orkut que desativem temporariamente o Javascript para ajudar a proteger as suas contas, enquanto nós trabalhamos em uma correção.”

Obrigado a todos os leitores que nos alertaram para a falha!

Thássius Veloso

Ex-editor-executivo

Thássius Veloso foi editor e editor-executivo do Tecnoblog de 2008 a 2014. Liderou o noticiário e cobriu de perto os maiores acontecimentos do mercado de eletrônicos de consumo, games e serviços. É jornalista, palestrante e apresentador de tecnologia na rádio CBN e no canal de TV por assinatura GloboNews.

Mais Populares

Responde

Relacionados

Em destaque