O retrocesso na validação dos usuários no Orkut e no Twitter

Quando ainda ninguém falava de web 2.0 ou conteúdo gerado por internautas[1. Só para registro, vale mencionar que os primeiros protocolos de comunicação da rede, as BBSs e a Usenet, eram basicamente formadas de conteúdo enviado por usuários. Apenas a web é que, de início, tinha mais conteúdo “profissional”.], no fim da década de 90, fóruns de todos os assuntos estavam aparecendo na internet. O fenômeno continuou e tomou proporções ainda maiores depois de 2000, com a popularização de softwares gratuitos como o YaBB, phpBB e as primeiras versões do Invision Power Board.

É claro que esses fóruns enfrentaram problemas com baderneiros virtuais, spam, bots, entre outros. Com o passar do tempo, algumas funções de segurança tornaram-se básicas. Além de recursos de administração de controle dos usuários, como por exemplo bloqueio de IP, o mais interessante é a exigência de cadastro com validação por e-mail. Com isso, o internauta é obrigado a informar um e-mail válido para se cadastrar.

Para os administradores de fóruns isso é ótimo. É mais fácil bloquear um domínio inteiro de e-mail do que uma faixa de endereço IP. O internauta sempre pode recorrer a um e-mail de um provedor com reputação melhor, porque existem vários gratuitos. Mas ele nada pode fazer a respeito do número que o provedor de internet atribui ao seu PC.

Isso complica significativamente as ações de malfeitores, porque eles precisam conseguir um e-mail diferente e válido para cada conta falsa que planejam usar para plantar vírus ou spam no fórum.

Em 2003, a validação do endereço de e-mail era recurso básico em qualquer software ou serviço de fórum na web.

Como se explica, então, que no ano de 2009 ainda seja possível algo como o que mostra a tela abaixo?

Ninguém precisa ser um especialista em informática para suspeitar que o endereço de e-mail “uogoqbupsiojtlcl@tbkwjeeqdbwinbne.com.br” não existe. De fato, nem o domínio de internet foi registrado — o Orkut não precisava validar o e-mail. Apenas verificar a (in)existência do endereço “tbkwjeeqdbwinbne.com.br” seria suficiente para descobrir que há algo suspeito com esse cadastro.

Dezenas de “robôs” têm enviado solicitações de amigo idênticas à reproduzida acima nos últimos dias. Tenho recebido várias diariamente. Porém, o Google não parece considerar que a falta de validação do endereço de e-mail seja um problema.

Mas o Orkut não está sozinho. Outro site bem conhecido faz igual: o Twitter. Não faltam registros de abuso do serviço de microblog para propósitos maliciosos. E há dezenas de spammers tirando proveito do serviço, registrando “usuários” que darão um “follow” automático em milhares de internautas para que a simples verificação do perfil malicioso — para saber “quem está me seguindo?” — sirva de propaganda para o serviço anunciado pelo spam.

Tanto o Orkut como o Twitter chegam até a empregar aquele teste com imagens para verificar se você é humano, o CAPTCHA. Mas, por algum motivo, não adotam o recurso antispam mais antigo em uso pelos fóruns na internet: a validação de e-mail. É revoltante ver isso em sites tão importantes, que atraem milhões de usuários todos os dias, e que deveriam ser exemplos para os sites menores — e não o contrário.

Desconheço o porquê desse retrocesso, esquecimento ou da simples incapacidade de aprender com o passado. Todos sabemos, no entanto, que quem não aprende com o passado está fadado a repeti-lo. Infelizmente, o que está se repetindo são os abusos e spam descontrolados, realizados com as mesmas técnicas rudimentares que funcionavam há dez anos atrás.