O retrocesso na validação dos usuários no Orkut e no Twitter
Posted on 17. mai, 2009 by Everson Vargas da Luz in Internet
Quando ainda ninguém falava de web 2.0 ou conteúdo gerado por internautas, no fim da década de 90, fóruns de todos os assuntos estavam aparecendo na internet. O fenômeno continuou e tomou proporções ainda maiores depois de 2000, com a popularização de softwares gratuitos como o YaBB, phpBB e as primeiras versões do Invision Power Board.
É claro que esses fóruns enfrentaram problemas com baderneiros virtuais, spam, bots, entre outros. Com o passar do tempo, algumas funções de segurança tornaram-se básicas. Além de recursos de administração de controle dos usuários, como por exemplo bloqueio de IP, o mais interessante é a exigência de cadastro com validação por e-mail. Com isso, o internauta é obrigado a informar um e-mail válido para se cadastrar.
Para os administradores de fóruns isso é ótimo. É mais fácil bloquear um domínio inteiro de e-mail do que uma faixa de endereço IP. O internauta sempre pode recorrer a um e-mail de um provedor com reputação melhor, porque existem vários gratuitos. Mas ele nada pode fazer a respeito do número que o provedor de internet atribui ao seu PC.
Isso complica significativamente as ações de malfeitores, porque eles precisam conseguir um e-mail diferente e válido para cada conta falsa que planejam usar para plantar vírus ou spam no fórum.
Em 2003, a validação do endereço de e-mail era recurso básico em qualquer software ou serviço de fórum na web.
Como se explica, então, que no ano de 2009 ainda seja possível algo como o que mostra a tela abaixo?
Clique na foto para ampliar
Ninguém precisa ser um especialista em informática para suspeitar que o endereço de e-mail “uogoqbupsiojtlcl@tbkwjeeqdbwinbne.com.br” não existe. De fato, nem o domínio de internet foi registrado — o Orkut não precisava validar o e-mail. Apenas verificar a (in)existência do endereço “tbkwjeeqdbwinbne.com.br” seria suficiente para descobrir que há algo suspeito com esse cadastro.
Dezenas de “robôs” têm enviado solicitações de amigo idênticas à reproduzida acima nos últimos dias. Tenho recebido várias diariamente. Porém, o Google não parece considerar que a falta de validação do endereço de e-mail seja um problema.
Mas o Orkut não está sozinho. Outro site bem conhecido faz igual: o Twitter. Não faltam registros de abuso do serviço de microblog para propósitos maliciosos. E há dezenas de spammers tirando proveito do serviço, registrando “usuários” que darão um “follow” automático em milhares de internautas para que a simples verificação do perfil malicioso — para saber “quem está me seguindo?” — sirva de propaganda para o serviço anunciado pelo spam.
Tanto o Orkut como o Twitter chegam até a empregar aquele teste com imagens para verificar se você é humano, o CAPTCHA. Mas, por algum motivo, não adotam o recurso antispam mais antigo em uso pelos fóruns na internet: a validação de e-mail. É revoltante ver isso em sites tão importantes, que atraem milhões de usuários todos os dias, e que deveriam ser exemplos para os sites menores — e não o contrário.
Desconheço o porquê desse retrocesso, esquecimento ou da simples incapacidade de aprender com o passado. Todos sabemos, no entanto, que quem não aprende com o passado está fadado a repeti-lo. Infelizmente, o que está se repetindo são os abusos e spam descontrolados, realizados com as mesmas técnicas rudimentares que funcionavam há dez anos atrás.
Por: Altieres Rohr da LinhaDefensiva
