Как стать владельцем чужой организации в Google Maps?

Одним тёплым вечером жена сказала что стала владельцем нашего Музея Мирового океана, находящимся в Калининграде. Она просто нажала на кнопку "Я владелец компании" в Google картах.

Я не поверил этому, как такое вообще может быть? Для подтверждения она изменила адрес сайта в профиле организации, через минуту в нём стал отображаться новый URL. Передо мной стоял и улыбался новый владелец крупного музея.

Мы сразу же вернули настоящий URL и принялись захватывать другие организации. Разумеется ничего не вышло. Каждый раз Google требовал подтверждения права собственности с помощью кода подтверждения из электронного письма, звонка по телефону или почтового уведомления.

Но как тогда получилось завладеть музеем? В тот вечер все мысли сводились к найденной уязвимости в системе верификации прав собственности на организации. Сразу был отправлен репорт в Google Bug Bounty со всей имеющейся информацией. А после я начал искать причины такого поведения системы верификации чтобы дополнить репорт новой информацией.

За несколько дней я смог захватить и получить полный контроль над 11 организациями в Google Business. Я мог изменять информацию в профиле, загружать картинки, отвечать на отзывы, просматривать статистику и.т.д.

Профили захваченных организаций на Google My Business

У меня не получалось захватывать конкретные организации, все захваты получались наугад, ручным перебором по карте. Я не смог определить закономерность. Какие-либо манипуляции с моей стороны не увеличивали шансы на захват конкретной организации. Единственное моё заключение - всё происходит со стороны Google. Я записывал видео, делал скриншоты и сохранял HAR, для дальнейшей отправки инженерам по безопасности Google.

Процесс захвата всегда оставался одним и тем же:

1) Выбрать организацию на Google Maps;

2) Нажать кнопку "Я владелец компании";

3) В Google Business нажать кнопку "Управлять компанией".

Видео процесса захвата

Google посчитал это не уязвимостью, ссылаясь на машинное обучение и модерацию информации в картах сотрудниками. Дополнительные доказательства также не привели к пересмотру репорта. Раз это не уязвимость, я решил внести изменения в профиль одной из захваченных организаций. Добавил номер репорта в блок комментария от компании. Разумеется изменения прошли модерацию, я всё таки имею полный контроль, и через несколько минут отобразились в профиле организации.

После чего я сообщил в Google о внесённых изменениях. По прошествии 2 недель ответ от него не поступил. Я решил внести ещё изменения, ответил на отзыв.

Прошло 2 недели, но ответа нет. Тогда я добавил номер репорта в блок комментария от компании во все захваченные организации. Разумеется и в этом случае Google молчал. Уже больше месяца внесённые изменения никто не удалил. Я решил внести кардинальные изменения в профиль одной из компаний.

Картиночка

В конечном счёте, через месяц я смог получить от Google ответ, с просьбой перестать им писать. За 2 месяца внесённые изменения никто не удалил. В качестве последней попытки доказать наличие уязвимости я внёс максимальное количество изменений во все профили захваченных организаций. Полностью нарушив деятельность организаций в Google Maps. Хорошо это или плохо? Скорее всего плохо, но другого способа привлечь внимание к наличию проблемы я не придумал. Так же нужно учитывать что с момента создания репорта прошло уже 3 месяца. Все правки прошли модерацию за час и карта стала выглядеть следующим образом:

Картиночка

Google отказался от пересмотра репорта сославшись на то, что получение полного контроля над профилем чужой организации - это не уязвимость. И наконец-то удалил все мои внесённые изменения. Неизвестно сколько бы они ещё продержались, не сообщи я о них. Месяц, год?

Вывод я сделал следующий - злоумышленник может захватить организацию и подменить адрес сайта на фишинговый, а жертва с радостью отправит ему свои деньги. Купит билеты в кино, оплатит новый iPhone, забронирует стол в ресторане, оплатит доставку еды и.т.д.

Комментарии 42

    +27

    Я так как-то стал владельцем своего универа, мне даже официальное письмо от гугл бизнеса на адрес универа пришло с кодом подтверждения. И сейчас, спустя 4 года, все еще им являюсь)

      +15
      Не теряйтесь, размещайте ссылку на «сайт музея» и принимайте на нем пожертвования на ремонт Провала.
        0

        Спокойно, жертвы на ремонт Провала, как непосредственный участник событий, принимаю я. Пишите в личку, скажу куда слать миллионы.

        +8

        Подумать только — сколько раз я боролся с искушением нажать эту кнопку, но очевидная бессмысленность этого ввиду непреодолимого (ожидаемого) барьера с верификацией не позволяла мне сделать это.
        И вот — кто-то все-таки нажал.
        Возможно это организации, владелец которых неизвестен и которых гугл сам добавил из какого-то своего источника, но не имеет возможности верифицировать по каким-либо контактам.

          +18
          Логичным завершением была бы фраза — "… а потом они меня просто забанили" :)
            +11
            ссылаясь на машинное бучение
            на удивление есть такое слово
              +8
              ИМХО обобщающий признак у успешно захваченных организаций был такой: все они не были привязаны к чьему-то акку, т.е. никто ранее не претендовал на них и не подтвердил своих прав управления (что отдельная тема для обсуждения, но уже за рамками данной). Что ж, попробуйте предложить алгоритм, по которому crowd сможет добавлять на те же гуглокарты новые POI, но вот информация о них будет публиковаться только и исключительно достоверная. Присылать штатного гуглоинспектора на место каждого чиха, чур, не предлагать как очевидно не рентабельный способ ;)
                +3
                Нет, только что попал в профиль уже заполненного на полную ресторана
                  +5
                  Полностью заполненная и привязанная — это не одно и то же.
                  +1

                  У того же музея океана указан телефон. Вполне можно по нему заказать обратный звонок и подтвердить. Как добавить новую точку с "правильным" телефоном — не знаю.

                    +6
                    Из чего следует, что Гугл считает телефон «авторизованным»?
                    0

                    Да просто — получаем две формы с похожими данными с разных источников = публикуем. Надо только нейронку придумать для сравнения описаний, но гуглу это должно быть под силу.

                      0
                      Тю, два фейковых акка через прокси, да хоть 10 — было бы желание.
                    +16
                    Надо было так офисы и штаб-квартиры Гугла «захватывать» по всему миру… Может тогда бы быстрей реагировали.
                      +6

                      А когда я пытался создать точку своего магазина — мне предложили получить бумажное письмо по почте на адрес мангала с кодом подтверждения…

                        +2

                        Мне тоже. Но отредактировать название можно. Только пишет "ушло на модерацию, можете ускорить, если подтвердите адрес". Позже гляну переименовалась ли пяторочка в супер пятерочку...

                          0

                          Там тоже двойные стандарты какие-то. Увидел что в нашем новом здании отмечена пиццерия, захотел добавить свой магазин — как и вам, Гугл предложил получить письмо. Уточнил у соседа, как он пиццерию добавлял — очень просто, в два клика, никто лишних вопросов не задавал.

                          +1
                          По всей видимости это не баг, оно так работает.
                          smallbusiness.chron.com/doesnt-business-show-google-maps-75755.html
                          medium.com/@ASAPmaps/how-to-claim-a-business-on-google-4bcdeac3da59

                          Можно оспорить принадлежность и/или через саппорт вернуть себе контроль. Так вот все «просто».
                          Гугл смотрит на это видимо так, что это в интересах организации застолбить место на карте и добросовестно обновлять информацию. Если они этого не делают, то у них будет меньше шансов попасть в поисковую выдачу и т.д.
                          uberall.com/en-gb/resources/blog/risks-of-unverified-google-my-business-listings
                          Поэтому «незастолбленные» организации на карте скорее исключение чем правило.

                          А потенциал для злоумышленников да, есть
                          localleap.com/protect-your-google-my-business-listing-from-scammers

                          Но и википедию можно редактировать. Очень похожая ситуация.
                            +5
                            У меня в городе кто-то так захватил кучу POI, обозвав их типа «парк им. Ивана Пупкина», когда там «парк культуры и отдыха» например. Я очень много раз отправлял заявку на исправление данных по программе локальных экспертов, но мне всегда отклоняли их. При этом другие изменения принимаются за минуту, можно «закрыть» любую организацию тыкнув на «оно больше не работает». Или открыть закрытую. Или изменить время работы и так далее. Все кроме изменения названия и адреса, это видимо только владелец может.

                            «Локальным экспертом» при этом может стать кто угодно. И «экспертом» он становится в абсолютно любом городе, а не только в своем. Поэтому точность гуглокарт оставляет желать лучшего.
                              +1

                              Правки названий, создание новых точек и некоторые другие изменения заблокированы на территории СНГ для простых смертных примерно три года назад. Как раз да, после "флешмоба" каких-то вандалов. Похоже что-то править могут только локальные эксперты выше 8 уровня.

                                +1
                                Они их и по письму менять не хотят. На карте неправильно написано номер моего дома. Написал, в ответ вежливо послали.
                                  0
                                  Аналогично, уже несколько раз за последние годы сообщал о неправильной нумерации домов по улице, ноль реакции от людей, одни роботы отписываются.
                            • НЛО прилетело и опубликовало эту надпись здесь
                                +11

                                Гугловые роботы больше не обучаются и уже не хотят работать...

                                  +3
                                  Обучились, очеловечились и стали еще ленивее.
                                0
                                В данный конкретный помент Гугл работает над увеличением базы. Видимо, как только они достигнут желаемого уровня покрытия, тогда уже займутся модерацией. А пока лес рубят — щепки летят.
                                  +1
                                  Я как-то захватил своё почтовое отделение)))
                                  Года полтора или два был владельцем, потом гугл очухался и прислал письмо с просьбой пройти верификацию, после чего я решил что баг наконец прикрыли. Но походу до сих пор есть дыры.
                                    +2
                                    А надо было попробовать получить. Могло ведь и это прокатить :-)
                                      0
                                      Ну да, отделение было бы указано верное, фамилия на письме моя, разве что вместо домашнего адреса — адрес отделения, но могло бы и прокатить)))
                                      Но это уже выходит за рамки безобидного прикола, мне там ещё посылки получать.
                                        0

                                        Они бы его потеряли

                                          0
                                          Вот и раскрыт секрет наличия неподтверждённых адресов в количестве :-)
                                      +5
                                      «школа имени Рикардо Милоса»
                                        0

                                        Я бы лучше назвал "школа Дебилов Гугла". Может, отреагировали бы.

                                        0
                                        У меня тоже было такое несколько лет назад — я вообще-то хотел просто закладку рабочего адреса добавить, чтобы в навигаторе быстрее вводить, если по возвращении из командировки мне на работу надо заехать, но промахнулся и просто стал владельцем. Я это заметил, но решил, что коль скоро у меня несколько акций имеется, то какая-то доля правды в этом есть. Для проверки я стал владельцем соседней булочной (в качестве жеста доброй воли я им часы работы поправил). Дальше экспериментировать не стал, что б не рисковать аккаунтом, а оказывается это до сих пор работает и даже проблемой не является.
                                          +1
                                          Если я создам свой сайт, на который закачаю данные организаций (откуда угодно), и потом начну раздавать кому угодно права на администрирование соответствующих страничек — будет ли это нарушением чего либо?
                                            0
                                            будет ли это нарушением чего либо?

                                            Персональных данных закона?
                                              +1
                                              Каких персональных данных? Там данные организации, а не частного лица.
                                                0
                                                То есть собирать и обрабатывать информацию о физлицах можно только в согласии с законом, а для юр лиц нет никаких условий и ограничений?
                                                  0
                                                  Я не слышал. Если, конечно, не происходит нарушения других прав — деловой репутации, прав на товарные знаки, нарушения коммерческой тайны, режима конфиденциальности, банковской тайны, гостайны и т.п. Более того, определенная часть информации публична по закону (в РФ — данные в ЕГРЮЛ), а если в ходе деятельности какую-то информацию юридическое лицо само сделало публичной — то такую информацию точно можно собирать, хранить и обрабавать без дополнительного разрешения. В сети полно баз данных организаций (аля желтые страницы), никто никогда с этим не боролся.
                                            0

                                            Мне в Испании кнопку «царь горы» не показывают вовсе; интересно было бы узнать про другие страны.

                                              0

                                              Вот в испании почти получил доступ к какой-то кафешке около Океанариума в Валенсии. Сам океанариум не дают забрать.


                                              Заголовок спойлера

                                              image
                                              image

                                              +1
                                              Интересно, несет ли ответственность Google хоть за что-нибудь? Google Карты привели россиянина к смерти: www.ixbt.com/news/2020/12/10/google-karty-priveli-rossijanina-k-smerti.html (ответственность за собственную тупость с водителей никто не снимает, но все же).

                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                              Самое читаемое