Várias falhas nos últimos meses permitem roubar perfis e comunidades no Orkut. Usando scripts maliciosos qualquer pessoa pode cometer esses roubos

Quem participa da principal comunidade do Firefox no Orkut sabe dos problemas enfrentados pelos moderadores por causa das vulnerabilidades do Orkut. A comunidade Firefox Brasil já foi alvo de ataques pelo menos umas três vezes.

Nos debates entre os membros da comunidade chegou-se à conclusão de que o que está acontecendo é a inveja que alguns usuário do navegador Opera têm do Firefox e sua aceitação pelos usuários de todo o mundo. O Firefox aumenta cada vez mais sua participação entre o navegadores mais utilizados, enquanto o Opera não atinge 3% de participação, ficando entre os últimos. Esses poucos usuários do Opera, que claramente têm inveja do Firefox, não se cansam de importunar os membro da comunidade Firefox Brasil com tópicos rebaixando o Firefox e exaltando o Opera. Usuários do Firefox não praticam o mesmo ato na comunidade do Opera no Orkut.

A Firefox Brasil já foi roubada duas vezes utilizando vulnerabilidades do próprio Orkut e nos dois casos foi deletada pelos ladrões. A terceira tentativa de roubo causou a expulsão de praticamente metade dos membros e quase todos os tópicos foram apagados. Um dos mediadores teve seu perfil roubado e conseqüentemente suas comunidades também, entre elas estava a Mozilla Thunderbird Brasil que já foi recriada. Esse perfil mediador não tinha controle total sobre a Firefox Brasil.

Todos esses roubos são possíveis com o uso de scripts maliciosos, mas o problema é que as falhas no Orkut permitem que esses scripts sejam colocados nos nomes de comunidades e a simples visita a essas comunidades aciona o script que rouba seus cookies e encaminha seus dados para um email definido pelo ladrão do Orkut. De posse dos cookies do Orkut é possível autenticar o login do perfil roubado sem usar senha durante dias. Nesse caso não adianta trocar a senha, a autenticação continua funcionando.

Notem que logando primeiro no Orkut é possível entrar em todos os outros serviços do Google sem necessitar informar login e senha.

Essa última tentativa de roubo foi através de um suposto blog de um repórter no Blogger. O mediador da comunidade não sabia que o Blogspot poderia hospedar um script desse e clicou no link em sua página de recados. O script no blog redirecionava para a comunidade preparada para roubar dados do Orkut e o mediador percebeu o ataque e resolveu excluir o próprio perfil para evitar mais problemas.

Para evitar esse tipo de coisa é recomendável instalar a extensão NoScript no Firefox. Essa extensão bloqueia todos os scripts da página navegada e somente o usuário decide se o script deve ser desbloqueado. Um alerta surge e apresenta qual site teve o script bloqueado, se o endereço apresentado for de um site conhecido e confiável pode ser liberado. Os mediadores vítimas de roubo de dados admitiram não está utilizando o NoScript no momento do roubo.

O alerta é mostrado apenas uma vez para cada endereço de site, se aparecer outro alerta navegando dentro de um site desbloqueado, deve-se observar o endereço apresentado no alerta e decidir se desbloqueia ou não o site. Desbloqueando o Orkut uma vez e o NoScript alertando sobre um script, pode ter certeza de se tratar de um script externo pronto para ser executado e talvez roubar seus dados do Orkut. Instale o NoScript no seu Firefox e tenha mais segurança na Internet, principalmente no Orkut.