На днях глава подразделения по исследованиям и развитию известного агентства Distilled, занимающегося маркетингом в Интернете, Том Энтони нашел уязвимость, которая обошлась компании Google в 1337 долларов. Выяснилось, что уязвимость находилась в Search Console, и позволяла любому сайту беспрепятственно перехватывать трафик других страниц. Так сайты получали быструю индексацию, а также ранжировку при помощи ключевых слов конкурентов. В корпорации отметили, что недостаток системы оперативно устранен группой специалистов.
В собственном блоге Энтони поделился информацией об уязвимости и подробно расписал принцип ее работы. С помощью команды google.com/ping уязвимость отправляла XML-карту контролируемого сайта под видом карты сайта, который под контролем не находится. Для этого нужно было найти сайт с открытыми редиректами, а затем создавался дубликат на тестовом сервере с полным копированием контента. В итоге получалось, что целевые URL подменялись адресами тестового сайта. Всего за двое суток новая страница начинала получать входящий трафик, а уже через неделю вышел в топ результатов поисков по конкурентному ключевому слову. Сам Search Console в поисковике отображал оба сайта, но указывал, что они связаны друг с другом – целевая страница была указана как ссылающаяся на тестовый сайт.
Представители компании Google утверждают, что данная уязвимость не была использована в мошеннических целях, так как ранее о ней не было известно пользователям. В качестве защиты от подобных происшествий специалистам рекомендуется пользоваться файлами Sitemap, чтобы поисковая система могла получать информацию о новых или обновленных данных сайта. За найденную уязвимость Энтони получил весьма скромную награду – 1337 долларов. Том подумал, что, судя по размеру вознаграждения, команда безопасности Google не до конца понимает масштаб проблемы. Только за 2017 год охотники за уязвимостями и багами получили от компании около 3 миллионов долларов. Раздача вознаграждений всегда окупается — потери компании от использования багом мошенниками обошлись бы в куда большую сумму.