Bug no Orkut afeta milhares de usuários [atualizado]

46
206

No final de agosto, publiquei um post aqui no Google Discovery no qual relatei o caos gerado na rede social do Google por uma brecha de segurança. O bug em questão permitia que pessoas mal intencionadas roubassem comunidades de terceiros. Alguns usuários, com receio do que poderia acontecer com suas comunidades caso viessem a ser roubadas, chegaram ao ponto de preferir exclui-las por temer uma má utilização delas.

Mas parece que o Google não aprendeu com seu erro. Na noite de ontem, uma nova vulnerabilidade no Orkut foi descoberta, permitindo que códigos maliciosos fossem adicionados aos recados dos usuários. Assim, com o simples carregar da página, o script tornava o usuário membro de algumas comunidades, além de se propagar ao deixar comentários nas páginas dos amigos. Quando um amigo do usuário infectado acessava seus recados, também era infectado, fazendo da falha uma grande bola de neve. Para tornar a coisa mais engraçada, um alerta era exibido ao usuário com a seguinte mensagem: Pegadinha do Malandro. o.O


Em entrevista ao Infopod, Diogok, um dos criadores da praga, afirmou ter reportado a brecha de segurança ao Orkut, mas que nenhuma medida para garantir a segurança do usuário foi tomada. “Foi um bug que permitiu driblar as filtragens de códigos maliciosos, sendo assim, foi possível injetar HTML na página, possibilitando o ataque XSS”, disse Diogok.

Diogok disse, ainda, que o script criado por ele não possui nenhum fim maléfico, mas que variações criadas por outros usuários podem conter códigos com finalidades ilícitas. Segundo ele, o bug pode ser explorado em ambas as versões do Orkut. Isso quer dizer que nenhum usuário está a salvo do problema.

Em nota divulgada por sua assessoria de imprensa, o Google diz:

“Nós estamos trabalhando ativamente para corrigir uma vulnerabilidade que permitiu um ataque XSS no orkut.com e foi descoberta há várias horas. Nossa análise inicial do código do script não revelou qualquer atividade maliciosa. No entanto, aconselhamos aos usuários do orkut que desativem temporariamente o Javascript para ajudar a proteger as suas contas, enquanto nós trabalhamos em uma correção”.

Segundo o portal G1, mais de 180 mil pessoas foram vítimas da brecha de segurança. Até que a equipe do serviço corrija o problema, recomendamos que os usuários não acessem o Orkut.

Assim que obtivermos mais informações, atualizaremos o post e avisaremos através do perfil @GoogleDiscovery.

Se nenhuma medida drástica for tomada pelo Google para garantir a segurança dos usuários da sua rede social, a gigante de Mountain View pode vir a perder a batalha contra as vulnerabilidades. Esta semana também vimos o Twitter passar por um problema similar e o Facebook tendo que reiniciar todo o serviço (neste caso por falha na TI).

Atualização 19h47 – O Google informa que corrigiu o problema no Orkut. Leia a nota oficial na íntegra:

“Tomamos medidas rápidas para corrigir uma vulnerabilidade do tipo cross-site scripting (XSS) no orkut.com que foi descoberta algumas horas atrás. Nossa análise do código de script não revelou qualquer atividade maliciosa. O problema agora já está resolvido, mas continuamos estudando a vulnerabilidade para ajudar a evitar problemas semelhantes no futuro.”

Atualização 21h09 – Embora o Google tenha informado que o problema foi corrigido, usuários ainda estão enfrentando problemas com o script, mesmo após esvaziarem completamente os arquivos temporários e cookies do navegador. A boa notícia é que o script não consegue mais fazer com que os usuários entrem automaticamente nas comunidades. Em vez disso, ele redireciona para a página de confirmação.

O alerta com a mensagem “Pegadinha do Malandro” continua a aparecer.

Atualização 26/09 – 0h26 – Rodrigo, funcionário do Google, acaba de postar no fórum de ajuda do Orkut que o problema foi sanado:

Gostaria de informar que já corrigimos o problema que possibilitava a um script malicioso se espalhar pelo orkut.

Neste momento estamos restaurando os perfis afetados.

Agradecemos a todos que nos avisaram sobre o problema.

46 COMENTÁRIOS

  1. A versão antiga do orkut não é afetada pelas execuções do script na forma de imagens nas atualizações. Talvez ainda seja possível a execução do código ao visualizar a página de scraps.

    É possível bloquear o script com a extensão NoScript do Firefox (permitindo, somente, os scripts confiáveis e necessários para o carregamento do Orkut).

  2. Creio que o uso da extensão "noscript" resolve parcialmente essa vulnerabilidade, essa extensão não permite xss e todos os outros scripts, a menos que o usuário permita.

  3. >>No entanto, aconselhamos aos usuários do orkut que desativem temporariamente o Javascript para ajudar a proteger as suas contas, enquanto nós trabalhamos em uma correção".

    Aff.. alguém avise a assessoria de imprensa do google que o orkut não funciona se desativar o javascript..

    (a menos que vc esteja usando a versão para celulares)

  4. Sempre gostei muito do orkut e do google (lembram, visitei o escritorio e vocês até publicaram a respeito) mas vou te contar… a equipe está deixando o orkut de lado, não é possivel, as outras redes sociais crescem, principalmente facebook e twitter e o orkut não muda de maneira significativa..

    Resta imaginar que eles tem algo na manga com o tal do Google Me… Quem sabe resolvam lançar um novo produto encerrando o orkut que, apesar de pioneiro, já não serve mais para a atualidade…

    • Entendo seu ponto de vista, mas em minha opinião, o google não deve deixar o orkut de lado e sim melhorá-lo cada vez mais, pois muitas pessoas utilizam o orkut por ser mais fácil de usar, e se o google excluir o orkut, fará com que muitos tomem raiva, pois muitos ainda preferem o orkut. Sempre defendi os produtos do google, portanto, o que falta é aperfeiçoar mais o orkut. Uma idéia seria o google enviar a seguinte questão para todos usuários:

  5. bom, eu boto muita fé em renovar tudo, esse lance do google me me deixa animado, tudo em uma conta só, e ainda o google tem a opção de importar os amigos que estão no orkut e tudo mais, vamos esperar né =D

    ps. porque nas opções de logar pra comentar não tem a opção do orkut? =/ meio sem noção né? ja que o serviço é do google.

  6. Odeio essa historinha de "isso foi um alerta para as falhas" e tal..

    Visitei o perfil de uma sobrinha para dar feliz aniversário e sem ter feito nada, sem ter clicado em nada, surgiu essa bandeirinha no meu status.

    Fiquei tão P da vida por ter acontecido comigo que acabei deletando a bosta do meu Orkut. No começo não sabia do que se tratava, era madrugada e sinceramente fiquei com medo disso prejudicar minha conta (em questão de roubo de perfil/ senha ) por não ter nenhuma informação que me desse segurança que isso era apenas uma "brincadeira" de mau gosto.

    Desejo de todo o meu coração que o criador dessa palhaçada seja de alguma forma punido. Pessoas ainda usam o Orkut por causa de trabalho. Não podem ter a sua integridade comercial afetada por causa de palhaçadas assim. O que meus contatos pensariam? Os mais afoitos, com certeza, falariam que eu cliquei para ver "fotos de ninfetas"…rsrs..E na verdade, qualquer pessoa que visitasse um perfil "infectado" também ficaria.

    Só algumas horas depois que exclui meu Orkut, que disseram que não era nada demais… Mas foi tarde demais. Não pude deixar com que meus contatos corressem risco também, por não saber do que se tratava.
    Pedi imagens, alguns recados e confesso ter me arrependido, mas fazer o que? De madrugada e com sono, qualquer coisa estranha nos tira do sério. Ainda mais da maneira que foi.. passivamente.

    Mais uma vez, coisas assim não podem ter lado bom.. O autor, criador, deveria responder legalmente pelos seus atos, já que explorou uma falha para benefício próprio.

    • Na verdade ele não teve benefício algum, só quis tirar onda com o Google.
      Hacker brasileiro, sinto até orgulho aushaushaushau

      • Nenhum benefício? Ficar "famosinho" pra gente assim é um benefício. Propostas de trabalho, entrevista e visita no blog dele tbm contam como "benefício".

    • Concordo com você, deveria ser punido.
      Por isso sempre digo, não é uma boa idéia o google querer excluir o orkut, pois muitos utilizam ele ainda para funções importantes, como você, que utiliza até para trabalho.

      Infelizmente existem estas pessoas que não tem o que fazer e fica criando pragas que venha prejudicar os outros e desmoralizar o google. Isso agora se tornará pretexto para as pessoas que utilizam outras redes sociais!

    • O importante é evitar clicar em links e fotos ou notícias suspeitas, como morte de atores famosos, links dizendo que mostrarão suas fotos…Acontece que muitos usuários leigos acabam clicando.

      • Sem falar que esse vírus foi como uma gripe, não precisava clicar em nada, bastava navegar no orkut.

  7. Eu acredito que não cheguei a ser atacado, porme coincidentemente meu perfeil foi excluido com a simples desculpa q eu violei os termos. foi na mesma data do fato do virus.

    estranho essa coincidencia!

  8. Porque os caras do google nao bloqueiam a area de login do orkut né! até eles resolverem (se resolverem) o problema as pessoas irão continuar pegando virus estragando umas da maiores redes sociais do mundo. :(

    • Empreste seu cérebro seu cérebro para os nerds do Google, pois eles estão em pânico se cagando nas calças sem saber o que fazer.

  9. Corrigido??? Não mesmo! Acabei de acessar meu orkut, cai na "pagadinha do malandro". Que ódio!!!!

  10. Navegando pelo Ubuntu com Chrome atualizado no modo anônimo e com extensão notscripts. O meu perfil ainda está sem problemas, mas percebi que mais dois amigos foram infectados, eles foram incluídos na nova comunidade do Infectados pelo vírus do Orkut e um deles está com o scrap da bandeira do Brasil. Na dúvida nem tento passar o mouse sobre ela, rs.

  11. o problema ainda não foi resolvido, não consigo apagar as comunidades que foram adiconadas, e no google choore ainda continua aparecendo uma mensagem

  12. O Google tá dando mto vacilo… Parece que o orkut ñ é prioridade pra eles, deve ser pq a maioria dos usuários é do 3º Mundo (Brasil e Índia).
    Tô louca pra entrar, mas ñ confio que já corrigiram totalmente a falha. ¬¬

  13. Eu fui uma que perdi meu perfil comercial por falta de informação, o que me deu um prejuízo imenso…fiquei desesperada e deletei a conta. Toda "brincadeira" tem uma consequência, e concordo plenamente que quem fez isso tem que ser responsabilizado de alguma forma. Depois dessa tormenta, espero que o google tome as devidas providências contra essas verdadeiras mentes pequenas que tentam de alguma forma chamar atenção pra sua vida vazia…

  14. melhor opçao gente é usar o myspace mesmo

    a google literalmente decepcionou os usuarios

    mas nao sai da minha cabeça que isso foi proposital

    para promover o google me

    orkut ta fora de moda ja

  15. Meu orkut ainda continua horrível! Eles continuam tentando reparar? Não consigo visualizar meu scraps nem sair das comunidades adicionadas pelos vírus.

  16. Antes do Orkut existir eu já tinha a um certo tempo minha conta no Google, e desde quando o Orkut foi criado ele permanece um serviço BETA. Eu pelo menos não saio baixando e instalando todos os programas em fase BETA ('utilizando' no caso de serviços on-line), pois o risco de ter problemas é alto, e a exposição a falhas de segurança é imprevisível, mais no caso do Orkut não teve jeito, acabei entrando pra ver como era e fiquei até hoje. Falhas como essa afastam usuários que temem a invasão de privacidade, mais mesmo assim muitos ainda continuarão a postar imagens e vídeos de toda sua vida particular, principalmente os mais jovens que não dão a mínima para o fator "segurança".

  17. Se fosse uma falha no Gmail, com um vírus (script) correndo solto, o Google teria agido com rigor e rapidez.
    Mais um sinal de que o Google não dá a mínima para redes sociais. Se quer lançar uma iniciativa Google Me, com um fator social, pq não mostrar um bom serviço no que já tem?
    Perdi a credibilidade que tinha no Google.

  18. Não sei se já está solucionado o problema. Minutos atrás minha irmã estava na minha lista de atualizações, onde ela teria entrado em novas comunidades, só que no entando ela nem havia acessado o orkut, e muito menos entrado em tal comunidade. #fail

    Google deixando a desejar… Sinceramente, prefiro o Facebook.

Comente!