Quando ainda ninguém falava de web 2.0 ou conteúdo gerado por internautas[1. Só para registro, vale mencionar que os primeiros protocolos de comunicação da rede, as BBSs e a Usenet, eram basicamente formadas de conteúdo enviado por usuários. Apenas a web é que, de início, tinha mais conteúdo “profissional”.], no fim da década de 90, fóruns de todos os assuntos estavam aparecendo na internet. O fenômeno continuou e tomou proporções ainda maiores depois de 2000, com a popularização de softwares gratuitos como o YaBB, phpBB e as primeiras versões do Invision Power Board.

É claro que esses fóruns enfrentaram problemas com baderneiros virtuais, spam, bots, entre outros. Com o passar do tempo, algumas funções de segurança tornaram-se básicas. Além de recursos de administração de controle dos usuários, como por exemplo bloqueio de IP, o mais interessante é a exigência de cadastro com validação por e-mail. Com isso, o internauta é obrigado a informar um e-mail válido para se cadastrar.

Para os administradores de fóruns isso é ótimo. É mais fácil bloquear um domínio inteiro de e-mail do que uma faixa de endereço IP. O internauta sempre pode recorrer a um e-mail de um provedor com reputação melhor, porque existem vários gratuitos. Mas ele nada pode fazer a respeito do número que o provedor de internet atribui ao seu PC.

Isso complica significativamente as ações de malfeitores, porque eles precisam conseguir um e-mail diferente e válido para cada conta falsa que planejam usar para plantar vírus ou spam no fórum.

Em 2003, a validação do endereço de e-mail era recurso básico em qualquer software ou serviço de fórum na web.

Como se explica, então, que no ano de 2009 ainda seja possível algo como o que mostra a tela abaixo?

Reproduçãoorkutbot

Clique na foto para ampliar

Ninguém precisa ser um especialista em informática para suspeitar que o endereço de e-mail “uogoqbupsiojtlcl@tbkwjeeqdbwinbne.com.br” não existe. De fato, nem o domínio de internet foi registrado — o Orkut não precisava validar o e-mail. Apenas verificar a (in)existência do endereço “tbkwjeeqdbwinbne.com.br” seria suficiente para descobrir que há algo suspeito com esse cadastro.

Dezenas de “robôs” têm enviado solicitações de amigo idênticas à reproduzida acima nos últimos dias. Tenho recebido várias diariamente. Porém, o Google não parece considerar que a falta de validação do endereço de e-mail seja um problema.

Mas o Orkut não está sozinho. Outro site bem conhecido faz igual: o Twitter. Não faltam registros de abuso do serviço de microblog para propósitos maliciosos. E há dezenas de spammers tirando proveito do serviço, registrando “usuários” que darão um “follow” automático em milhares de internautas para que a simples verificação do perfil malicioso — para saber “quem está me seguindo?” — sirva de propaganda para o serviço anunciado pelo spam.

Tanto o Orkut como o Twitter chegam até a empregar aquele teste com imagens para verificar se você é humano, o CAPTCHA. Mas, por algum motivo, não adotam o recurso antispam mais antigo em uso pelos fóruns na internet: a validação de e-mail. É revoltante ver isso em sites tão importantes, que atraem milhões de usuários todos os dias, e que deveriam ser exemplos para os sites menores — e não o contrário.

Desconheço o porquê desse retrocesso, esquecimento ou da simples incapacidade de aprender com o passado. Todos sabemos, no entanto, que quem não aprende com o passado está fadado a repeti-lo. Infelizmente, o que está se repetindo são os abusos e spam descontrolados, realizados com as mesmas técnicas rudimentares que funcionavam há dez anos atrás.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

4 comentários

  1. Sites importantes não! Sites que atraem muita gente sim!

    Bom texto!

    Curtir

    Responder

  2. as vezes chego a pensar que essas falhas sejam até intencionais!

    sei lá!

    rola tanta grana que tudo é possivel!

    por isso não uso orkut e raramente o msn

    prefiro usar email!

    Curtir

    Responder

  3. Sem falar que vários usuários cadastram o e-mail no orkut com algum erro no login, então fica possível cadastrar tal e-mail inexistente no dominio hotmail ou yahoo por ex, e dominar a conta, alegando ter esquecido a senha

    realmente é algo importantíssimo em termos de segurança deixado de lado.

    Curtir

    Responder

  4. eu estava recebendo varios convitinhos desse tipo no meu orkut….

    uns e-mails bemmm suspeitos…. para resolver isso eu bloqueei tuuudo e agora só me adiciona quem sabe meu e-mail!

    hasta…

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.