2 de set de 2010

Falha no Orkut permitiu roubo de comunidades durante fim de semana

Uma vulnerabilidade no Orkut permitiu o roubo de comunidades por usuários mal-intencionados no último fim de semana. A brecha estava em uma página do site que permitia a transferência instantânea de uma comunidade de um perfil para outro, sem a necessidade de qualquer ação por parte do dono verdadeiro da comunidade.

Alguns proprietários, temendo serem roubados sem poder fazer nada a respeito, excluíram suas comunidades. A exclusão voluntária dos espaços levou alguns internautas a acreditarem que havia um problema que fazia comunidades sumirem. Um tópico sobre o assunto no site de suporte tem mais de 500 respostas.

O Orkut, rede social mais popular no Brasil, excluiu os perfis de vários usuários que realizaram os roubos, retornando as comunidades aos seus verdadeiros donos. As comunidades excluídas estão sendo restauradas e transferências de comunidades estão bloqueadas.

Procurados pelo G1, a equipe de segurança do Google e o Google Brasil não se pronunciou até o fechamento da reportagem.

O usuário Sérgio – ele não revelou o sobrenome – é dono da comunidade Super Liga de Moderadores, que discute questões pertinentes a proprietários de comunidades do Orkut. Ele explica que o sistema de coproprietários, criado para evitar esse tipo de problema, não foi suficiente para conter os roubos.

“Embora o Orkut tenha criado os coproprietários para que cada dono recupere sua comunidade sem ajuda qualquer do suporte, esse sistema também possui falhas que possibilitam o cancelamento dos links de titularidades”, explica. Ainda de acordo com Sérgio, o suporte foi rápido para atender as solicitações dos usuários.

O estudante Rodrigo Lacerda encontrou as informações técnicas da brecha divulgadas no próprio Orkut. Lacerda não quis explorar e muito menos testar o problema, porque o Google está punindo severamente usuários envolvidos em ataques ao Orkut. “Só de fazer um teste, o perfil já é deletado”, afirma o estudante.

Segundo os dados encontrados por Lacerda, uma página do Orkut, responsável por realizar transferências, não verifica as informações enviadas pelo navegador. Basta especificar os dados (a comunidade a ser transferida) para que a página realize a transferência.

Fonte: G1

Nenhum comentário: