Uma vulnerabilidade no Orkut permitiu o roubo de comunidades por usuários mal-intencionados no último fim de semana. A brecha estava em uma página do site que permitia a transferência instantânea de uma comunidade de um perfil para outro, sem a necessidade de qualquer ação por parte do dono verdadeiro da comunidade.
Alguns proprietários, temendo serem roubados sem poder fazer nada a respeito, excluíram suas comunidades. A exclusão voluntária dos espaços levou alguns internautas a acreditarem que havia um problema que fazia comunidades sumirem. Um tópico sobre o assunto no site de suporte tem mais de 500 respostas.
O Orkut, rede social mais popular no Brasil, excluiu os perfis de vários usuários que realizaram os roubos, retornando as comunidades aos seus verdadeiros donos. As comunidades excluídas estão sendo restauradas e transferências de comunidades estão bloqueadas.
Procurados pelo G1, a equipe de segurança do Google e o Google Brasil não se pronunciou até o fechamento da reportagem.
O usuário Sérgio ele não revelou o sobrenome é dono da comunidade Super Liga de Moderadores, que discute questões pertinentes a proprietários de comunidades do Orkut. Ele explica que o sistema de coproprietários, criado para evitar esse tipo de problema, não foi suficiente para conter os roubos.
"Embora o Orkut tenha criado os coproprietários para que cada dono recupere sua comunidade sem ajuda qualquer do suporte, esse sistema também possui falhas que possibilitam o cancelamento dos links de titularidades", explica. Ainda de acordo com Sérgio, o suporte foi rápido para atender as solicitações dos usuários.
O estudante Rodrigo Lacerda encontrou as informações técnicas da brecha divulgadas no próprio Orkut. Lacerda não quis explorar e muito menos testar o problema, porque o Google está punindo severamente usuários envolvidos em ataques ao Orkut. "Só de fazer um teste, o perfil já é deletado", afirma o estudante.
Segundo os dados encontrados por Lacerda, uma página do Orkut, responsável por realizar transferências, não verifica as informações enviadas pelo navegador. Basta especificar os dados (a comunidade a ser transferida) para que a página realize a transferência.