Pull to refresh

Как стать владельцем чужой организации в Google Maps?

Reading time3 min
Views30K

Одним тёплым вечером жена сказала что стала владельцем нашего Музея Мирового океана, находящимся в Калининграде. Она просто нажала на кнопку "Я владелец компании" в Google картах.

Я не поверил этому, как такое вообще может быть? Для подтверждения она изменила адрес сайта в профиле организации, через минуту в нём стал отображаться новый URL. Передо мной стоял и улыбался новый владелец крупного музея.

Мы сразу же вернули настоящий URL и принялись захватывать другие организации. Разумеется ничего не вышло. Каждый раз Google требовал подтверждения права собственности с помощью кода подтверждения из электронного письма, звонка по телефону или почтового уведомления.

Но как тогда получилось завладеть музеем? В тот вечер все мысли сводились к найденной уязвимости в системе верификации прав собственности на организации. Сразу был отправлен репорт в Google Bug Bounty со всей имеющейся информацией. А после я начал искать причины такого поведения системы верификации чтобы дополнить репорт новой информацией.

За несколько дней я смог захватить и получить полный контроль над 11 организациями в Google Business. Я мог изменять информацию в профиле, загружать картинки, отвечать на отзывы, просматривать статистику и.т.д.

Профили захваченных организаций на Google My Business

У меня не получалось захватывать конкретные организации, все захваты получались наугад, ручным перебором по карте. Я не смог определить закономерность. Какие-либо манипуляции с моей стороны не увеличивали шансы на захват конкретной организации. Единственное моё заключение - всё происходит со стороны Google. Я записывал видео, делал скриншоты и сохранял HAR, для дальнейшей отправки инженерам по безопасности Google.

Процесс захвата всегда оставался одним и тем же:

1) Выбрать организацию на Google Maps;

2) Нажать кнопку "Я владелец компании";

3) В Google Business нажать кнопку "Управлять компанией".

Видео процесса захвата

Google посчитал это не уязвимостью, ссылаясь на машинное обучение и модерацию информации в картах сотрудниками. Дополнительные доказательства также не привели к пересмотру репорта. Раз это не уязвимость, я решил внести изменения в профиль одной из захваченных организаций. Добавил номер репорта в блок комментария от компании. Разумеется изменения прошли модерацию, я всё таки имею полный контроль, и через несколько минут отобразились в профиле организации.

После чего я сообщил в Google о внесённых изменениях. По прошествии 2 недель ответ от него не поступил. Я решил внести ещё изменения, ответил на отзыв.

Прошло 2 недели, но ответа нет. Тогда я добавил номер репорта в блок комментария от компании во все захваченные организации. Разумеется и в этом случае Google молчал. Уже больше месяца внесённые изменения никто не удалил. Я решил внести кардинальные изменения в профиль одной из компаний.

Картиночка

В конечном счёте, через месяц я смог получить от Google ответ, с просьбой перестать им писать. За 2 месяца внесённые изменения никто не удалил. В качестве последней попытки доказать наличие уязвимости я внёс максимальное количество изменений во все профили захваченных организаций. Полностью нарушив деятельность организаций в Google Maps. Хорошо это или плохо? Скорее всего плохо, но другого способа привлечь внимание к наличию проблемы я не придумал. Так же нужно учитывать что с момента создания репорта прошло уже 3 месяца. Все правки прошли модерацию за час и карта стала выглядеть следующим образом:

Картиночка

Google отказался от пересмотра репорта сославшись на то, что получение полного контроля над профилем чужой организации - это не уязвимость. И наконец-то удалил все мои внесённые изменения. Неизвестно сколько бы они ещё продержались, не сообщи я о них. Месяц, год?

Вывод я сделал следующий - злоумышленник может захватить организацию и подменить адрес сайта на фишинговый, а жертва с радостью отправит ему свои деньги. Купит билеты в кино, оплатит новый iPhone, забронирует стол в ресторане, оплатит доставку еды и.т.д.

Tags:
Hubs:
Total votes 69: ↑66 and ↓3+89
Comments42

Articles