Há alguns momentos em que vejo as coisas acontecendo e não posso deixar de me omitir. Durante alguns dias, depois que fiz esta descoberta, relutei em revelá-la por não saber o que fazer e como fazer. Nessa semana que passou me preparei para a revelação, mas estava de mãos e pés atados por outras atividades e senti aquela aflição de ver as coisas acontecendo e não poder fazer nada. Foi horrÃvel.
Agora CHEGA! Estou chutando o balde. Antes tarde do que mais tarde. Mas vamos depressa ao que interessa.
O Orkut possui uma falha das grandes, que permite a qualquer pessoa logada no site enviar uma mensagem a uma comunidade sem que essa pessoa esteja na comunidade, e mesmo que o dono tenha desativado o envio de mensagens pelos membros. Nem é preciso dizer que essa falha já está fazendo a alegria dos spammers, como vou mostrar depois.
Essa é a minha tela de mensagens do Orkut, não é a de scraps, são as mensagens que vêm das comunidades e que só eu vejo, ao contrário dos scraps que todo mundo vê.
Recebi uma mensagem que foi mandada para a comunidade “Balzaquianos do Rio de Janeiro”, da qual sou membro, com o anúncio de uma outra comunidade. Até aà tudo bem, até eu entrar na comunidade balzaca e verificar que ela não permite o envio de mensagens pelos membros – o botão não aparece:
Somente a Jujuba, a dona da comunidade, poderia ter enviado a mensagem. Mas quem enviou *não foi ela*. Agora veja como é fácil mandar uma mensagem para a comunidade.
Estando logado no Orkut, entre na sua comunidade-alvo. Olhe na barra de endereços e você verá que o endereço tem a palavra “Community”:
Agora mude a palavra “Community” para “Compose”.
Aperte Enter e… voilà !!! Aparece uma tela para você mandar a mensagem que quiser para a comunidade dos balzaquianos. E sem precisar fazer mais nada, além de editar a barra de endereços:
Nem é preciso dizer que esse bug já está fazendo a alegria dos spammers. Já existe até um programa que automatiza o processo que descrevi (pelo que deu pra ver, ele vasculha milhares de comunidades, dado um assunto), e obviamente no site eles não falam em SPAM, usando em seu lugar o eufemismo “Marketing Wizard“. E sabe como eles vendem a chave de ativação, para permitir o envio de muitos spams? Pelo MERCADO LIVRE!
Pra terminar, criei uma comunidade que pode ser usada para testar o bug. Tentem também o Compose, escrevam qualquer merda que eu e os demais membros vamos receber. A comunidade será excluÃda assim que o Google consertar o Orkut.
www.orkut.com/Community.aspx?cmm=11133716
www.orkut.com/Compose.aspx?cmm=11133716
É só isso. Boa noite.
Atualizando 1: já começaram a pipocar as mensagens vindo da comunidade. Daqui a pouco a internet vai pegar fogo hehehe…
Atualizando 2: este post VIROU COCADA!!!!
Atualizando 3: o Orkut limita o envio de mensagens às comunidades com até 1000 membros. Isso diminui um pouco os spams através da Falha.
Atualizando 4: a notÃcia sobre a Falha foi replicada também no Navegantes Blog e no Google Underground.
Atualizando 5: 21:56, quase 24 horas depois de divulgada a Falha, e ainda continuam vindo mensagens da comunidade. Too bad…
Atualizando 6: a Falha chegou à grande mÃdia!!!! Saiu no Estadão. Só que o Alexandre Barbosa, autor da matéria, papou mosca. Não “existiriam” programas que exploram a Falha, já existe!
Atualizando 7: são 10:38 e ainda continuam vindo mensagens da comunidade. O Orkut não toma jeito…
Atualizando 8: O Portal VSP replicou a notÃcia do Estadão.
Atualizando 9: 9:29 de sábado e nada de conserto ainda. Parece que o jeito é o que o PC sugere: o Google puxar a tomada do Orkut.
Atualizando 10: 22:08 de quarta-feira, dia 12, uma semana depois de divulgada a Falha, e nada de conserto. O Google não me deu esse presente no meu aniversário. A única novidade boa: o site que tinha um programa para fazer spam (link acima) saiu do ar. O leilão bizarro (link também acima) foi finalizado e também não voltou.
Atualizando 11: a Falha foi consertada no dia 21 de abril, lá pelo final da tarde. Parece que aproveitaram a nova feature do Orkut (mostrar os visitantes recentes do perfil) para fazer a correção. Valeu!
(PostRating: 0 hits today, 0 yesterday, 243 total, 3 max)