ALERTA DE SEGURANÇA: OS RISCOS REAIS DE INSERIR JAVASCRIPT DE TERCEIROS EM UM SITE

Sou desenvolvedor de sites há mais de 20 anos e, se existe uma regra que o tempo ensina de forma dura, é esta:

QUALQUER DEMANDA PRECISA SER CONFIRMADA DIRETAMENTE COM O RESPONSÁVEL PELO SITE. SEM EXCEÇÃO.

Essa prática simples evita prejuízos financeiros, vazamento de dados, penalizações em SEO e até processos judiciais.

Recentemente, vivi uma situação que merece ser compartilhada como alerta técnico para toda a comunidade.

📩 O CONTEXTO: UMA SOLICITAÇÃO “INOFENSIVA”

Recebi um e-mail solicitando a inclusão de um “simples recurso de troca de idioma” no site de um cliente. O discurso era profissional, bem escrito, com assinatura, telefone brasileiro, domínio próprio e até referência a uma empresa “parceira”.

Antes de qualquer ação, fiz o que sempre faço:

👉 Confirmei diretamente com o proprietário do site.

Resposta do cliente?
Não solicitou absolutamente nada.

Aqui já temos o primeiro sinal clássico de alerta.

🎯 A ESTRATÉGIA USADA: ENGENHARIA SOCIAL

O e-mail seguia um padrão muito conhecido em ataques modernos:

  • Linguagem educada e técnica
  • Nome de pessoa real
  • Domínio aparentemente legítimo
  • Pedido simples e “rápido”
  • Código pronto para copiar e colar
  • Urgência implícita (“é só integrar”)

Esse tipo de abordagem explora confiança, rotina e pressa.

🧩 O PROBLEMA REAL: JAVASCRIPT DE TERCEIROS NÃO CONFIÁVEIS

O pedido era para inserir os seguintes elementos no site:

  • Scripts externos carregados no <head>
  • Código JavaScript remoto
  • Um div que inicializa um widget dinâmico
  • Dependência total de servidores externos

À primeira vista, parece apenas um widget de tradução.

Na prática, é uma execução remota de código JavaScript dentro do seu site.

E aqui começa o risco real.

🚨 POR QUE JAVASCRIPT É EXTREMAMENTE PERIGOSO QUANDO MAL UTILIZADO?

JavaScript tem controle total do navegador

Um script externo pode:

  • Ler e manipular todo o DOM
  • Capturar dados de formulários
  • Interceptar logins e senhas
  • Ler cookies (inclusive de sessão)
  • Executar redirecionamentos invisíveis
  • Injetar anúncios ou links maliciosos
  • Carregar outros scripts dinamicamente
  • Alterar conteúdo sem você perceber

Tudo isso sem deixar rastros visíveis no servidor.

🔥 RISCOS REAIS ASSOCIADOS A ESSE TIPO DE SCRIPT

1️⃣ Roubo de dados (Data Harvesting)

  • Dados de formulários
  • E-mails
  • Telefones
  • Tokens de autenticação
  • Cookies de login
  • Dados de pagamento (em casos mais graves)

2️⃣ Sequestro de sessões (Session Hijacking)

O script pode capturar cookies de sessão e permitir que terceiros assumam contas administrativas, inclusive do WordPress.

3️⃣ Redirecionamento malicioso

Visitantes podem ser redirecionados para:

  • Sites de phishing
  • Páginas falsas
  • Downloads infectados
  • Golpes financeiros

Muitas vezes isso ocorre apenas em mobile ou apenas para Googlebot, dificultando a detecção.

4️⃣ Penalização severa no Google (SEO)

  • Blacklist do Google Safe Browsing
  • Aviso de “site perigoso”
  • Queda brusca de tráfego
  • Desindexação completa
  • Perda de autoridade do domínio

Recuperar isso pode levar meses — ou nunca acontecer.

5️⃣ Ataque de Supply Chain

Mesmo que o script seja “legítimo hoje”:

  • O domínio pode ser comprometido amanhã
  • O arquivo JS pode ser alterado
  • O CDN pode ser invadido
  • O parceiro pode vender a empresa

Você não controla o código remoto.

🔎 A INVESTIGAÇÃO

Ao pesquisar os domínios envolvidos:

  • ❌ Cliente nunca ouviu falar da empresa
  • ❌ Nenhuma reputação sólida encontrada
  • ❌ Pouca ou nenhuma presença confiável na internet
  • ❌ Domínios sem histórico claro
  • ❌ Documentação genérica
  • ❌ Código ofuscado e remoto

Isso, somado ao fato de o cliente não ter solicitado nada, é motivo mais do que suficiente para bloquear qualquer implementação.

⚠️ DOMÍNIOS QUE MERECEM ATENÇÃO E CAUTELA

CUIDADO – ALERTA DE SEGURANÇA

  • www.hotelwidgets.com
  • hotelsreputation.com
  • elfsight.com / elfsignt.com (variações semelhantes)
  • Scripts hospedados em CDNs de terceiros sem auditoria

⚠️ Isso não é uma acusação criminal, mas um alerta técnico de risco baseado em boas práticas de segurança.

✅ BOAS PRÁTICAS OBRIGATÓRIAS PARA DESENVOLVEDORES

✔️ Nunca inserir código sem autorização formal do cliente
✔️ Nunca confiar apenas em e-mail
✔️ Verificar reputação, histórico e CNPJ da empresa
✔️ Evitar scripts externos sempre que possível
✔️ Preferir soluções self-hosted
✔️ Usar Content Security Policy (CSP)
✔️ Monitorar alterações no DOM
✔️ Versionar tudo
✔️ Manter backups atualizados

🧠 FINALIZANDO

O pedido parecia simples.
O risco era enorme.

JavaScript é poderoso. E exatamente por isso é perigoso quando vem de fontes não confiáveis.

Se você é desenvolvedor, agência ou gestor de site, lembre-se:

Quem controla o JavaScript, controla o site.

Desconfie. Verifique. Confirme.
E, acima de tudo, proteja seu cliente e sua reputação.