quinta-feira, 20 de dezembro de 2007

Código 'abduz' internautas e cria efeito 'Lost' no Orkut


A exploração de uma brecha no site de relacionamentos Orkut, o mais popular entre os brasileiros, faz com que os internautas se associem involuntariamente a uma comunidade -- na manhã desta quinta-feira (20), às 11h30, o grupo tinha 628 mil usuários. Para ser “sugado” a essa comunidade, o usuário precisa apenas visitar a página de recados de alguém que já tenha sido infectado pelo código.



A brecha já foi corrigida, segundo sites internacionais e o próprio criador da comunidade. Assim, a visualização de scraps contaminados passa a ser inofensiva.

“Tá parecendo [o seriado] ‘Lost’. Ninguém sabe direito como a gente veio para aqui. Um bando de gente que eu não conheço, falando que foi um scrap [recado] que nem recebi”, escreveu um usuário na comunidade “Infectados pelo Vírus do Orkut”. O site “The Register” afirma que o Google já consertou a falha, e na manhã desta quinta, o número de membros da comunidade apresentava oscilações – aumentava e diminuía em questão de segundos.

O criador da “brincadeira” esclarece que nenhum vírus é instalado no computador do usuário para que isso aconteça. “Tudo isso é feito por JavaScript, uma linguagem que é interpretada apenas pelo seu navegador, independente do seu sistema operacional. Então, para reforçar, nada é instalado no seu computador”, escreveu em seu blog um internauta identificado como Rodrigo Lacerda. Ele é o dono da comunidade e também assumiu a autoria da praga.

Os scraps que levavam o usuário a comunidade vinha com os seguintes textos: “Feliz natal para vc!”, “Tenha uma otima semana =)”, “2008 vem ai... que ele comece mto bem para vc” e “Boas festas de final de ano.

Divulgação

Em seu blog, Lacerda conta que já quis explorar outra falha para “roubar o maior número possível de perfis”, mas ela foi corrigida antes que ele pudesse pensar em algo. Mas na tarde de quarta-feira (19), quando identificou uma brecha, viu que era possível colocar seu projeto em prática. “Não para roubar nem prejudicar ninguém, e sim para ver que proporção isso poderia tomar se fosse usado para o mal”, escreveu o internauta.

A idéia, afirma, era divulgar um scrap com o link de seu blog. Ele desistiu porque isso poderia criar uma imagem negativa para a página. “Resolvi então criar a comunidade Infectados pelo Vírus do Orkut e fazer as pessoas entrarem nela e espalhar o código por aí”, escreveu o internauta.

Em seu blog, Lacerda fez uma espécie de tutorial para explicar como funciona seu vírus. “Você lê o scrap com o código. Ele injeta um código JavaScript no seu navegador. O código faz você entrar na comunidade. Coleta a sua lista de amigos. Envia o recado com o código [infectado] para eles.”

Alerta

Em entrevista ao site de tecnologia “The Register”, o especialista em segurança David Maynor deu um alerta sobre esse tipo de ação. “Não seria muito difícil transformar isso em um verdadeiro ataque malicioso. Ataques como esse estão criando um paradigma segundo o qual você não deve confiar em nada [no ambiente virtual]”, disse o especialista da empresa de segurança Errata.

Segundo Maynor, seria relativamente simples para o autor da praga roubar as informações pessoais dos usuários do Orkut, como login. Esses dados também podem ser utilizados para acessar outros serviços do Google, como o Gmail.

Nenhum comentário:

Postar um comentário