Nesse sábado, usuários do Orkut estão verificando uma falha de segurança que permite o ingresso em novas comunidades sem que o internauta expressamente aprove a ação, desde que esteja usando o “novo” Orkut. A recomendação, ao menos por enquanto, é que as pessoas não acessem a rede social enquanto o Google não se manifestar sobre o assunto.

Ao que tudo indica, a falha tem caráter XSS. Ou seja, um código armazenado em outro servidor é executado pelo navegador quando o usuário acessa o Orkut. É similar ao que aconteceu no Twitter na semana passada, quando outro código malicioso fazia com que os usuários publicassem atualizações sem autorização.

Portanto, não é preciso intervenção do usuário para ser infectado: basta acessar o link com o script malicioso para automaticamente começar a fazer parte de comunidades estranhas.

Na minha experiência particular, depois de abrir o Orkut, ingressei automaticamente em uma comunidade que possui apenas um caractere em formato de coração no título e a descrição “meu amor por você não para de crescer!”. No momento da publicação desse post, a comunidade tem mais de 210 mil membros.

Atualização às 12h53 | A brecha de segurança que está sendo explorada no Orkut só funciona na versão mais nova da rede social. Quem continua usando o “velho” Orkut não corre riscos, pois o serviço não executa script malicioso sem a autorização do usuário.

Atualização às 12h56 | Os amigos do Google Discovery recomendaram, por meio do perfil no Twitter, que os usuários não cliquem em imagens contendo a bandeira do Brasil. Parece que essa bandeira também é uma forma de acionar o script malicioso que explora a falha na segurança.

Atualização às 13h16 | O leitor Diego Carvalho conseguiu uma captura de tela com as bandeiras do Brasil que acabam por infectar os usuários do Orkut.

Atualização às 13h43 | O script malicioso que já foi relatado para o Google adiciona os usuários a uma comunidade chamada “Infectados pelo Vírus do Orkut”. Nesse momento, a comunidade tem mais de 180 mil participantes. Na descrição dela, o administrador afirma: “Nada foi instalado em seu computador (a não ser o cookie de controle) e nenhuma informação pessoal foi roubada”.

Recomendamos que os usuários do Orkut verifiquem se estão participando das comunidades com um coração no título e com o nome “Infectados pelo Vírus do Orktut”. Em caso positivo, o ideal é deixar de participar essas comunidades e fazer uma limpeza nos cookies do navegador (o CCleaner é uma boa ferramenta para isso).

  • Download | CCleaner
  • Baixatudo | CCleaner

Atualização às 19h24 | De acordo com o Google Discovery, o Google finalmente se manifestou sobre o assunto. A empresa pede que os usuários desativem o JavaScript antes de acessar o Orkut. Veja abaixo o comunicado na íntegra.

“Nós estamos trabalhando ativamente para corrigir uma vulnerabilidade que permite um ataque XSS no orkut.com que foi descoberta há várias horas. Nossa análise inicial do código do script não revelou qualquer atividade maliciosa. No entanto, aconselhamos aos usuários do orkut que desativem temporariamente o Javascript para ajudar a proteger as suas contas, enquanto nós trabalhamos em uma correção.”

Obrigado a todos os leitores que nos alertaram para a falha!

Leia | Como alterar visibilidade de um board público no Trello

Relacionados

Escrito por

Thássius Veloso

Thássius Veloso

Editor

Thássius Veloso é jornalista especializado em tecnologia. Desde 2008, participa das principais feiras de eletrônicos, TI e inovação. Thássius é editor do Tecnoblog e também atua como comentarista da CBN, palestrante e apresentador de eventos. Já colaborou com o Jornal Nacional e a GloboNews, entre outros veículos da imprensa. Ganhou o Prêmio Especialistas em duas ocasiões e foi indicado diversas vezes ao Prêmio Comunique-se. Pode ser encontrado como @thassius nas redes sociais.