Causos

WTF??? Pegadinha do Malandro no Orkut? Ataque XSS. Cuidado!

Importante: O caso descrito abaixo não depende de clicar em nenhum link! Basta somente navegar normalmente para ser afetado! Vale para qualquer navegador (eu fui afetado mesmo no Chrome)

Editado 1- Para remover, o moderador do fórum do Orkut pede para trocar a senha e passar o CClean. Maiores detalhes em: http://www.google.com/support/forum/p/orkut/thread?tid=7a7a9d1b6660fae4&hl=pt-BR. Para trocar a senha, veja abaixo no post!

Aparentemente alguém encontrou uma falha de segurança no Orkut. Estava navegando no Orkut e apareceu a seguinte mensagem:

(Medo! É um aplicativo do próprio Orkut)

Ao clicar em OK, o usuário é redirecionado ao twitter do usuário @Jowkss. Pelos comentários dele, é nítido que se trata de alguém que está explorando algum bug.

Como provavelmente se trata de um XSS (Cross-site scripting – Maiores detalhes na Wikipedia), além de entrar em comunidades que o aproveitador da falha indicou, pode ter acontecido roubo de cookies. Dependendo de como é gerado esse cookie e de como ele é verificado no login, nem o logout do Orkut e nem a troca de senha podem invalidar o cookie roubado. O ideal é não entrar no Orkut até descobrirem e solucionar o problema.

Lembrando que o Orkut usa cookie do Google Login. Dependendo da gravidade, o uso do cookie roubado pode dar até acesso ao Gmail, que é algo extremamente crítico!

Para trocar a senha no Orkut:

1- No canto superior direito, clique em “Configurações“;

2- Escolha a aba “Gerais“;

3- Em “Minha conta/senha“, clique em “Para alterar sua senha, acesse as Configurações da Conta do Google“.

4- Em “Configurações pessoais”, clique em “Alterar senha”  ou “alterar palavra passe” se ele estiver em português de portugal.

5- Coloque a senha atual e coloque a senha nova. Pronto!

12 comentários sobre “WTF??? Pegadinha do Malandro no Orkut? Ataque XSS. Cuidado!

  • Meu filho. A confusão se instaurou no Orkut. Visitei o perfil da minha sobrinha pra ler o “Quem Sou Eu” que ela tinha acabado de atualizar e PIMBA! Lá fui eu ficar travada na página inicial, com uma bandeira do Brasil no meu status.

    Falha muito “grave” essa. Todas as comunidades está infestada de tópicos “convidando” outros membros a acessarem o perfil do autor. E assim, essa “pegadinha” vai se multiplicando.
    Ninguém consegue tirar, só os muitíssimos sortudos. .. Me estressei e deletei minha conta.rsrsrs

  • Eu ainda não sei como mas eu concegui retirar 😀

  • cara, será que não é vírus essa merda aí?

  • O meu Avira não acusou vírus nenhum aki. Parece que é só alguém “raquer” aparecido mesmo. Mudei pro orkut antigo agora a pouco, mas não consigo sair de nenhuma das comunidades que entrou por conta disso.

  • Uso o orkut antigo e naveguei a manhã inteira sem ser infectado. Se for imprescindível o acesso a rede social, tentem a versão antiga que, provavelmente, o problema está na versão nova.

  • Não adianta em nada… O meu estava no antigo.

  • na verdade apagar os cookies não resolvem, uma vez que o cookie já foi roubado.

  • Atenção – O orkut nao tem falha de segurança nenhuma a tal falha de segurança esta nos navegadores da google “firefox e chrome” repito a falha de segurança esta nos navegadores “firefox e Chrome” para que vc nao sofra este tipo de ataque passe a usar o internet explorer 7 ou 8 da propria microsoft…

    depois que aconteceu isso comigo eu passei a navegar em sites que usao senhas apenas com internet explorer…

    na minha opniao estao tentando enganar a google de alguma forma pois eu mudei de navegador voltei para o velho “IE 7” e aki ta blz experimente ai vcs tb…

  • ??????????

    Xss independe de navegador! É uma requisição vinda do próprio site.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.