Todos se lembram do grande caos que dominou o Orkut ontem por conta de uma vulnerabilidade que possibilitou a um script se espalhar pela rede social como um vírus, simplesmente quando o usuário acessava seu perfil.
Hoje o serviço é outro, mas a empresa é a mesma: foi descoberta uma falha que permitiu a alteração dos títulos dos vídeos do YouTube por pessoas não-autorizadas. Abaixo, por exemplo, você pode ver um vídeo do canal do Justin Biber que foi atacado e teve seu título alterado.
Canais brasileiros como o do vlogueiro Felipe Neto, famoso pelos seus vídeos polêmicos, também foram atacados e tiveram todos os títulos de seus vídeos alterados. Segundo Felipe, ao notar as modificações nos títulos de seus vídeos, tratou de corrigi-los. Mas foi tudo em vão. Instantes depois, os títulos foram alterados novamente.
Segundo Diogok, um dos responsáveis pela quebra de segurança do Orkut na noite de sexta, a falha no YouTube foi descoberta pela comunidade Orkut Exploits, que se define como uma comunidade com intuito de discutir coisas relacionadas a programação e segurança na web.
No caso do YouTube, Diogok afirma que a falha foi descoberta por Miguel Targa e Saad M., também membros da comunidade. “Com a intenção de proporcionar uma edição mais rápida do vídeo, o YouTube adicionou a função de editar o título na página do vídeo mesmo, com isso, não veio um sistema de filtragem como na página principal de edição do vídeo já existente, o que possibilitou os vídeos serem editados com uma pequena mudança nos dados da requisição HTTP”, disse ele.
Ainda segundo ele, da mesma forma que ocorreu no Orkut, a mudança dos títulos tinha o único intuito de chamar a atenção do Google para a falha. Mas, assim que ela se tornou pública, usuários mal-intencionados começaram a explorá-la.
Apesar da extensão do ataque, poucos usuários o reportaram ao YouTube através dos fóruns em português e inglês, o que pode ter tornado um pouco mais lenta a solução da falha. Às 21h de hoje, já não era mais possível explorar a falha de segurança.
Atualização (Bônus) 23h04 – Nem mesmo o canal oficial do Google no YouTube se livrou da falha: vídeos na conta da empresa também tiveram seus títulos alterados e permanecem assim até agora.
Atualização 23h35 – Há menos de uma hora, Miguel Targa, responsável pela descoberta da vulnerabilidade do YouTube, publicou um vídeo no qual se inocenta da bagunça feita no serviço.
6 comments
Cara tipo assim, a brincadeira de mal gosto já está começando a encher e prejudicar a gente!
Querem chamar atenção da Google? Vão no escritório deles, e não nós prejudiquem poxa!
VEJAM MAIS INFORMAÇÕES E UMA ENTREVISTA COM UM DOS USUÁRIOS QUE FIZERAM MODIFICAÇÕES: http://quase1nerd.blogspot.com/2010/09/youtube-ap…
o google ta ruim o orkut me infectou eeeeeeee mais
"que se define como uma comunidade com intuito de discutir coisas relacionadas a programação e segurança na web."
Dá vontade de mandar td mundo tomar naquele lugar. Quer ajudar a descobrir falhas? Não perturbe ninguém. Fça isso de uma forma que pessoas não sejam prejudicadas, pois se pessoas estão sendo prejudicadas, isso é coisa de gente que quer perturbar, e não ajudar.
Enquanto continuarem dando plateia pra esses idiotas, eles continuarão fazendo isso e perturbando todo mundo.
Eu não apoio esse tipo de "publicidade".
Eu apoio, e acho eles muito fodas!, desded que nao deletem nada kkkkk
(y)
Oi Ricardo tudo bem. Eu fui penalizada pelo Google sem ter feito nada. Simplesmente baixei um video e editei uma pequena propaganda do meu site, so que muitos conhecidos meus que editaram o mesmo video não receberam a mesma punição. Como funciona isso? Espero uma resposta. Jucara