آقای تام آنتونی – Tom Anthony از شرکت SearchPilot که یکی از قدیمی ترین کارشناسان سئو در دنیا است، اخیرا فاش کرده که گوگل در سال 2013 درباره وجود یک باگ در سیستم Manual Action viewer کنسول جستجوی آن زمان، پاداش 5000 دلاری دریافت کرده و تا کنون چیزی درباره اش ننوشته است.
تام می گوید: گوگل در سال 2013 ابزاری را برای مشاهده گزارش جریمه های پنالتی که در یک وبسایت اعمال می شود را منتشر کرد. در آن موقع من متوجه شدم که API در endpoint هیچ بررسی را برای اعتبار سنجی مجوز دسترسی انجام نمی دهد که باعث شد به پایگاه داده Manual Action گوگل دسترسی کامل داشته باشم.
تام آنتونی این مشکل را به گوگل گزارش می دهد و آنها هم ابزار فوق را بلافاصله برای چند روز از کنسول حذف کردند تا مشکل فوق را برطرف کنند. این موضوع بقدری مهم و قابل توجه بود که شرکت گوگل به آقای آنتونی پاداشی معادل 5000 دلار را پپرداخت کرد و هرچند وی را از نوشتن شرح ماجرا منع نکرد، اما اکنون و بعد از 10 سال واقعه فوق افشا می شود.
ماجرا از این قرار بود که با این رخنه امنیتی، شما می توانستید براحتی تمام گزارش های مربوط به هر دامنه ای را برای بررسی وضعیت پنالتی مشاهده و بررسی کنید.
آقای آنتونی میگوید: من می خواستم ببینم آیا می توانم گزارش پنالتی دامنه هایی که به کنسول جستجوی آنها دسترسی ندارم را مشاهده کنم یا نه. در نهایت متوجه شدم ساختار بسته ای که از طریق API منتقل میشد به این صورت بود:
تام آنتونی یک هکر ماهر است، پس درخواست را بصورت زیر تغییر و مجدد اسال کرد:
آقای تام در کمال تعجب میبیند که درخواست او پاسخ می دهد پس می توانست هر دامنه ای را در ساختار کد قرار داده و جریمه های مرتبط با آن را مشاهده کند. این نشان می داد که گوگل هیچ نظارتی بر روی مجوز های دسترسی داده های کنسول در آن زمان نداشته و به همین راحتی می توان به هر کنسول جستجویی دسترسی داشت.
در سئوی کلاه سیاه به این داده ها، کلید فتح قلعه گفته می شود زیرا می توانستید روش های سئوی منفی را با تکیه بر داده های بدست آمده از آنچه که برای اش پنالتی شده اند برای رقبای خود پیاده کنید. این موضوع بقدری اهمیت داشت که اگر آن زمان آقای تام آنتونی چنین رخنه ای را فاش می کرد، وبسایت هایی که تحت تاثیر سئوی منفی قرار می گرفتند نمی توانستند براحتی از ضربات وارده جان سالم بدر ببرند.
آقای تام آنتونی در پایان گفت: من همان موقع به مت کاتز ایمیل ارسال کردم و او نیز در کمتر از 15 دقیقه به من پاسخ داد و تشکر فراوانی هم کرد. بلافاصله شاهد این بودم که ابزار گزارش پنالتی وبسایت از دسترس خارج شد و من هم جایزه هکر دستمال یزدی سال را با پاداش 5000 دلاری – bug bounty program دریافت کردم.
جالب است بدانید آقای تام آنتونی بعدها برنامه زوم گوگل را نیز برای بررسی اینکه قابل هک هست یا نه بررسی کرده و متوجه یک مشکل امنیتی دیگر در گذرواژه ورود به جلسات نیز شده بود.
نویسنده علیرضا ناجی
سایر مقالات نویسنده
