Falha no Orkut permite roubo de comunidades

Foi publicado no último domingo (26/11) um código que tira proveito de uma brecha na rede social Orkut e permite que indivíduos maliciosos roubem comunidades caso consigam convencer o dono da comunidade a clicar em um link. O link, quando clicado, executa no navegador um código que automaticamente transfere as comunidades.

O link malicioso é longo e “estranho”, porém sites de redirecionamento estão sendo usados para esconder seu real conteúdo. Não é necessário que o usuário faça qualquer download: apenas um simples clique já é o suficiente para que as comunidades sejam transferidas para quem lhe enviou o link.

A vulnerabilidade está presente no componente do Orkut referente ao processamento dos recados (scraps). É possível fazer com que sejam inseridos códigos na página por meio de um link. A falha permite a execução de qualquer Javascript no contexto do site do Orkut, o que possibilita o roubo das comunidades e também de cookies. Falhas desse tipo recebem o nome de XSS, ou Cross-site Scripting.

De acordo com comentários no código, os cookies só podem ser roubados de usuários que não utilizam o Internet Explorer. Isso significa que usuários que não utilizam IE e que clicarem no link também enviarão dados que possibilitam que o invasor acesse o site do Orkut com a sua conta.

O Google já foi avisado sobre a falha e a mesma deve ser corrigida em breve, porém a Linha Defensiva tem confirmação de que os links maliciosos funcionavam com sucesso até pelo menos o início da tarde de hoje (28/11).

Em uma notícia relacionada, o Orkut deu à Polícia Federal um acesso especial que permite que policiais fechem comunidades sem precisar pedir ao Orkut.