Gmail apagou acidentalmente mais de 500mil contas e o motivo ainda é um mistério. A Google afirmou em nota que o problema foi um bug que afetou apenas 0.08% (segundo dados oficiais da Google) dos usuários do Gmail.

Muito embora isto não tenha ocorrido comigo, muitos usuários estão reclamando via Twitter, Gmail Fórum e em outros lugares, afirmando que perderam tudo que estava arquivado em suas contas, alguns alegam que haviam muitos arquivos dentro da sua caixa de entrada, os quais se perderam. E após a Google devolver o acesso aos usuários destas contas, as mesmas estavam totalmente vazias. Dando a impressão se serem novos usuários.

A Google no entanto afima que os dados perdidos serão restaurados, só não se sabe quando, e se isso realmente vai ocorrer. O fato é que isso alertou os usuários para a necessidade de criarem backups de suas contas.

Portanto se você é usuário Gmail e não quer perder seus dados pois pra você eles são valiosos, faça backup de sua conta. Existe um aplicativo chamado Gmail Backup que facilita este trabalho para quem estiver interessado, o aplicativo é gratuito.

Olá pessoal,

Esta semana foi uma semana muito agitada nos sites de relacionamento, Orkut, Youtube, e Twitter. Tudo começou no Twitter que sofreu com uma falha a qual permitia ataques XSS, isto ainda durante a semana.

Já no Sábado o Orkut sofreu um de seus maiores ataques, e assim como no Twitter a falha permitia o ataque o XSS. Já no domingo o Youtube foi a bola da vez e teve um ataque em massa, bobo porém que pertubava bastante.

Pois o atacante podia alterar o título de qualquer vídeo, e isso foi usado em grande escala para divulgar a falha ou apenas por molecagem.

Entrando em detalhes:

Sobre o ataque ao Orkut

No Orkut o que permitiu o ataque foi uma tag html não fechada, a tag STYLE, tendo isso em mãos usuários do Orkut criaram um worn que infectava as contas dos usuários que visualizassem scraps, tópicos e status dos perfis já infectado, criando assim um processo de bola de neve. Uma vez que não era preciso clicar em link algum para se infectar, bastava visualizar o conteúdo malicioso.

Veja um trecho do código utilizado no ataque ao Orkut:

Apesar do worn ter dado muita dor de cabeça para quem foi infectado, ele não oferecia nenhum risco para seu PC.

Sobre o ataque ao Youtube

Neste ataque diferente do que aconteceu no Orkut, ele apenas possibilitava a alteração do titulo de qualquer vídeo, e isto só foi possível por causa de uma falha grotesca por parte do Youtube, a qual permitia a edição do título sem verificar quem estava realizando a alteração.

Neste episódio uma pessoal se destacou por ter explorado o bug primeiro, e após ele vieram outros. Estou falando de Miguel Targa, este mesmo que esteve relacionado ao episódio do XSS do Twitter na semana passada.

Entrei em contato com Miguel e deu algumas palavras esclarecendo o que aconteceu, leiam:

Silas Martins:  Como você detectou a falha?

Miguel Targa: Usando o youtube.

Silas Martins: E porque aquele titulo? (@migueltarga e @saadzim_ Amaram seu video *-*)

Miguel Targa: Porque só queríamos alertar.

Silas Martins: Entendi, procede a informação de que “talvez” fosse possível alterar a titularidade da conta vinculada a determinado vídeo?

Miguel Targa: Desconheço

Silas Martins: Qual foi a participação do Saad?

Miguel Targa: coletar contas e me ajudar a executar meu script.

Silas Martins:  Você utilizava algum add-on para executar o pog?

Miguel Targa: Ferramenta utilizada: curiosidade.

Silas Martins: Após a correção da falha a equipe do Youtube entrou em contato com você, ou deletou sua conta?

Miguel Targa: Nada, pelo menos não chequei meu email.

Silas Martins: Fazendo um balanço dos ultimo mês, pode-se dizer que você anda envolvido quase que sempre nos ataques mais divulgados. Sejam eles no Twitter, Orkut ou You tube. Porque este seu interesse por essas redes sociais?

Miguel Targa: Curiosidade

Ao final da conversa Miguel disponibilizou um vídeo no Youtube onde fala mais sobre o ataque.

Miguel Targa ainda disponibilizou o código utilizado em seu ataque, para os interessados acessem o link: http://pastebin.com/G0SzRYFi

Estes ataques só tem demonstrado quão frágil é a segurança de grandes sites, e o descaso que o Google tem pela segurança de seus usuários. Porém a grande maioria dos portais Brasileiros tem brechas assim, só que não são tão exploradas.

Entenda como funcionava o bug que permitia o “roubo” de comunidades no Orkut.

Como muitos já devem estar sabendo, mas é bom frisar que o Orkut sofreu uma série de ataques visando o roubo de comunidades já bem conhecidas por usuários da rede social neste domingo. E como resposta a Google excluiu o perfil de quem tivesse usado o bug para obter comunidades por meio deste bug.

No entanto ninguém(ou quase ninguém) sabe até o momento como funcionava o bug, ou melhor, como explorá-lo.

Estive conversando com um dos envolvidos aos ataques em comunidades. O que pude perceber pelo que me foi dito, é que o bug explorava uma falha grotesca no Orkut.

Quando perguntado sobre o funcionamento do bug, Miguel disse:
O Bug Funcionava no momento de receber transferência de comunidade. Refazendo a requisição com dados de uma comunidade que a pessoa participava.

Perguntei qual teria sido a principal comunidade que tivesse sido “roubada”:

Acho que a principal mesmo foi a Numero 1.. e muitas outras de mais de 1 milhão de membros..

Como descobriu o Bug?

Descobri o bug por meio do meu amigo( Saad). e fui explorando.. e deu no que deu

Qual o risco do bug voltar à ativa?

O bug já foi corrigido, tornando impossível efetuar o mesmo outra vez

Teria como uma pessoa que perdeu a cmm por esse bug recuperá-la?

Quase todos já recuperaram as comunidades, orkut restaurou.. tem algumas que ainda estão sem dono

O que a Google fez para tentar reverter isto?

Eles tentaram corrigir o bug no primeiro dia, mas quem salvou os dados no outro dia poderia refazer ( eu tinha salvo)

Esses são trechos de uma conversa com Miguel Targa um amigo que teve acesso a forma de explorar o bug. Fica aqui meu  agradecimento  a Miguel.