O Orkut já corrigiu a falha, aparentemente está tudo de volta ao normal. Mas fica aqui o post para a posteridade.

Pra variar, descobriram uma falha de segurança muito bizarra no Orkut. Eu sabia que fazer a galera baixar o Ubuntu não ia dar certo, é muito poder nas mãos erradas...

Para variar (de novo), o Vinicius K Max é quem manda o alerta. Mas dessa vez é bem pior do que as anteriores.

Para ter seu perfil e dados pessoais roubados, nem precisa clicar em links. É só entrar em qualquer scrapbook ou comunidade que tenha o código malicioso e pronto.

Entrem no scrapbook do mundialmente famoso Moskito, por exemplo (mas só entrem nesse e depois saiam, porque eu avisei para não ficarem de bobeira no Orkut nas próximas horas).

Pois bem, ao entrarem no scrapbook do Moskito, vocês devem ter percebido que foram automaticamente redirecionados para o www.cocadaboa.com

Isso aconteceu porque eu fui lá e coloquei esse recadinho no scrap do Moskito. Eu poderia ter deixado em qualquer outro lugar, como em um tópico de uma comunidade, por exemplo.

Copiem e colem (retirando as quebras de linha - se você não sabe o que é uma quebra de linha, é retardado demais pra brincar) o código acima nos scraps de amigos e vejam a mágica acontecer. Todo mundo que entrar no scrap do seu amigo, vai cair no Cocadaboa.

Cair no Cocadaboa é bom. Porque se ele caísse em uma página maliciosa, teria todos os seus dados roubados. E é isso que vagabundo tá fazendo, postando esse código enlouquecidamente em tudo quanto é canto, redirecionando a galera para páginas com scripts que roubam suas senhas.

Ou seja, se você clicar em qualquer tópico de comunidade ou scrapbook que um hacker tenha postado esse código, um abraço. Perdeu preibói. E não adianta usar Firefox. Dessa vez, qualquer browser é vulnerável.

Então repito: não naveguem pelo Orkut até os manés arrumarem essa falha.

Parebéns pro K Max e, se quiserem ler mais sobre, visitem o blog do Kid, que recebeu o furo do K Max antes (no bom sentido). Ele fez um post mais explicativo.

Envie para um amigo: