Acabei de receber um scrap de uma amiga com com o seguinte conteúdo:
add esse aki
http://www.orkut.com.br/Main#Profile.aspx?uid=81020294310883490
A autora era minha amiga mesmo, o host do email era realmente do orkut, o scrap realmente estava no meu scrapbook. Quando cliquei no link, abriu a tela de login do Orkut. Digitei usuário e senha, dei Enter e ai caiu numa página de erro. Foi só ai olhei o endereço, que estava:
http://0rkvlservicelogins.freehostia.com/Main-Community-aspx-cmm-8348041.html
Droga! Phishing! Entrei logo a conta do Google e mudei minha senha. Já entrei em contato com a freehostia que está hospedando esse site, espero que eles venham a bloquear o banco de dados dele antes que ele venha a resgatar as senhas.
Pensando em como isso poderia ter vindo a ocorrer só me veio uma coisa à cabeça: os Applications. Vendo no profile da minha amiga vi uma aplicação estranha:
Chat Alegria - Salas de Bate Papo
Isso me fez pensar algumas coisas em relação a segurança:
- Sobre a Web 2.0. Quando abrimos espaço para usuários criarem conteúdo nos portais estamos abrindo uma grande brecha na segurança: emprestamos o nome do portal junto com toda sua credibilidade para qualquer usuário usar. Esse caso específico (em que o usuário pôs um link com o conteúdo diferente de seu href para direcionar o atacado a outro domínio) foi endereçado pela Wiki pondo-se um simples simbolozinho do lado de links apontando para domínios externos. Isso é uma forma da Wiki lavar as mãos e consequentemente fazer o usuário ficar mais medroso (leia-se atento).
- Sistemas de SSO. Uso a conta do Google para várias coisas: blog, feed reader, calendário, documentos e email e tenho muita coisa importante, se de algum lado minha senha vazar pode ir tudo pro espaço. Um sistema de SSO deveria ter mecanismos de contenção de danos. Talvez identificação de padrões de uso, identificação de ações típicas de ataques ou simplesmente (e o Google não faz!!) verificar se a conta do usuário já possui sessão aberta, e possisvelmente combinações desses mecanismos.
- Padronização. Os applications do Orkut são construidos com a API OpenSocial que é uma tentativa da Google de criar uma interface comum para desenvolvimento de aplicações para redes sociais. Padronizações são importantes acontecem em todas as áreas de TI, mas geram também esse outro lado. A partir do momento que um padrão se difunde, uma aplicação que venha a ser construida com fins maléficos tem seu impacto maximizado através de todos os aderentes ao padrão.
Cuidado a todos!
EDIT:
O freehostia já me respondeu:
Hello,
We have suspended the reported account immediately. Thank you for the assistance.
Best Regards,
Miles
support@freehostia.com
http://www.freehostia.com
Wow! Que rápido!!
cuidado so aproveitando o post, tem outro phishing rolando no orkut,
pra mim chegou com esse link: http://www.orkut.com.br/Main#ProfileT.aspx?uid=12164127158315679032
repare q ali depois de http://www.orkut.com.br/Main#ProfileT.aspx
o normal nao teria T no final, seris ao http://www.orkut.com.br/Main#Profile.aspx,
fiz um testa na minha maquina virtual, ele infecta seu pc e pede imediatamente pra vc logar denovo no orkut, se vc digitar sua senha, ja era. Fica o alerta. Reparem nos links de perfil que mandam pra vcs.