Falha na segurança orkut

Essa é dedicada a todos que olham para o Google com os olhos de um babaca e acha que todos os empreendimentos deles são um grande sucesso (acorde, o Google é só um robô, não um messias); a todos que foram preguiçosos demais para fazer o download e experimentar uma nova alternativa de browser, muito mais segura, que é o Firefox; e, finalmente, a todos que se vislumbraram com o Orkut e acharam que algo com essa proposta, em um universo virtual onde tudo é inseguro, poderia ser levado muito a sério.

Há alguns dias o Vinicius, um grande leitor do Cocadaboa, me comunicou uma estarrecedora descoberta: uma falha do Internet Explorer, combinada com um buraco na segurança do Orkut, permite que as identidades de quem acessar uma página de internet comum, que esconde um código malicioso, sejam roubadas. Isso mesmo! Alguém terá acesso ao seu perfil do Orkut e poderá fazer tudo em seu nome!

Imagine o estrago que pode ser feito, principalmente nas pessoas que levam a sua “vida social virtual” muito a sério. Empregos podem ser perdidos, noivados desfeitos, reputações arruinadas... E não adianta chorar. Esse é o risco que se corre quando você delega uma coisa tão importante quanto seu círculo social e gostos pessoais a um banco de dados controlado por uma empresa que não é nem de longe a prova de falhas.

E não adianta chorar mesmo. O estrago está feito. Se você está lendo essa página, saiba que o tal código malicioso poderia estar escondido dentro dela. Ou seja, a partir de agora, se você usasse Internet Explorer e tivesse um perfil do Orkut acessado recentemente, haveria grandes chances de que pudéssemos usá-lo em seu nome. O Cocadaboa poderia ser o dono de sua “alma” virtual. Olha só que maneiro! Tem algum site na Internet mais adequado para isso? Imagine só o que poderíamos fazer... Dezenas de milhares de pessoas vão ler esse texto, muitas usam o Orkut e o Internet Explorer... Em poucas horas já teríamos um “exército” de perfis no Orkut.

Mas não se preocupe, a idéia por trás disso tudo não é essa é o tal código que explora essa folha não foi escondido aqui (pode conferir vendo o código fonte da página). Nada vai ser usado para o seu mal, muito pelo contrário. Quando esse leitor entrou em contato nos comunicando essa grave falha de segurança, a proposta que surgiu foi a de fazer um grande alerta pacífico, sem prejudicar ninguém.

O que estamos fazendo é uma transferência temporária do controle de imensas comunidades do Orkut para um usuário com um perfil que alerta sobre o perigo. Usamos uma tática de “phishing” para fazer donos de grandes comunidade acessarem uma página com o código malicioso e abrirem seus perfis para nosso uso. Não fizemos nada de mais, só “pegamos emprestado” comunidades como:

Eu amo Chocolate! (148464 usuários)
Só mais 5 minutinhos... (113124 usuários)
Odeio o cara das Casas Bahia (25954 usuários)
The SimpsonsBrasil (52303 usuários)
Hello Kitty (59553 usuários)
"Como" ou "Não Como" (12898 usuários)
Alborghetti (4111 usuários)
MSN Messenger (Portugues) (23152 usuários)
Ilha do Governador (4254 usuários)