Как стать владельцем чужой организации в Google Maps?

Информационная безопасность
Из песочницы

Одним тёплым вечером жена сказала что стала владельцем нашего Музея Мирового океана, находящимся в Калининграде. Она просто нажала на кнопку "Я владелец компании" в Google картах.

Я не поверил этому, как такое вообще может быть? Для подтверждения она изменила адрес сайта в профиле организации, через минуту в нём стал отображаться новый URL. Передо мной стоял и улыбался новый владелец крупного музея.

Мы сразу же вернули настоящий URL и принялись захватывать другие организации. Разумеется ничего не вышло. Каждый раз Google требовал подтверждения права собственности с помощью кода подтверждения из электронного письма, звонка по телефону или почтового уведомления.

Но как тогда получилось завладеть музеем? В тот вечер все мысли сводились к найденной уязвимости в системе верификации прав собственности на организации. Сразу был отправлен репорт в Google Bug Bounty со всей имеющейся информацией. А после я начал искать причины такого поведения системы верификации чтобы дополнить репорт новой информацией.

За несколько дней я смог захватить и получить полный контроль над 11 организациями в Google Business. Я мог изменять информацию в профиле, загружать картинки, отвечать на отзывы, просматривать статистику и.т.д.

Профили захваченных организаций на Google My Business

У меня не получалось захватывать конкретные организации, все захваты получались наугад, ручным перебором по карте. Я не смог определить закономерность. Какие-либо манипуляции с моей стороны не увеличивали шансы на захват конкретной организации. Единственное моё заключение - всё происходит со стороны Google. Я записывал видео, делал скриншоты и сохранял HAR, для дальнейшей отправки инженерам по безопасности Google.

Процесс захвата всегда оставался одним и тем же:

1) Выбрать организацию на Google Maps;

2) Нажать кнопку "Я владелец компании";

3) В Google Business нажать кнопку "Управлять компанией".

Видео процесса захвата

Google посчитал это не уязвимостью, ссылаясь на машинное обучение и модерацию информации в картах сотрудниками. Дополнительные доказательства также не привели к пересмотру репорта. Раз это не уязвимость, я решил внести изменения в профиль одной из захваченных организаций. Добавил номер репорта в блок комментария от компании. Разумеется изменения прошли модерацию, я всё таки имею полный контроль, и через несколько минут отобразились в профиле организации.

После чего я сообщил в Google о внесённых изменениях. По прошествии 2 недель ответ от него не поступил. Я решил внести ещё изменения, ответил на отзыв.

Прошло 2 недели, но ответа нет. Тогда я добавил номер репорта в блок комментария от компании во все захваченные организации. Разумеется и в этом случае Google молчал. Уже больше месяца внесённые изменения никто не удалил. Я решил внести кардинальные изменения в профиль одной из компаний.

Картиночка

В конечном счёте, через месяц я смог получить от Google ответ, с просьбой перестать им писать. За 2 месяца внесённые изменения никто не удалил. В качестве последней попытки доказать наличие уязвимости я внёс максимальное количество изменений во все профили захваченных организаций. Полностью нарушив деятельность организаций в Google Maps. Хорошо это или плохо? Скорее всего плохо, но другого способа привлечь внимание к наличию проблемы я не придумал. Так же нужно учитывать что с момента создания репорта прошло уже 3 месяца. Все правки прошли модерацию за час и карта стала выглядеть следующим образом:

Картиночка

Google отказался от пересмотра репорта сославшись на то, что получение полного контроля над профилем чужой организации - это не уязвимость. И наконец-то удалил все мои внесённые изменения. Неизвестно сколько бы они ещё продержались, не сообщи я о них. Месяц, год?

Вывод я сделал следующий - злоумышленник может захватить организацию и подменить адрес сайта на фишинговый, а жертва с радостью отправит ему свои деньги. Купит билеты в кино, оплатит новый iPhone, забронирует стол в ресторане, оплатит доставку еды и.т.д.

Теги:google mapsbug bountygoogle
Хабы: Информационная безопасность
+91
22,6k 40
Комментарии 42

Похожие публикации

Безопасность Linux
12 февраля 202130 000 ₽OTUS
Android-разработчик с нуля
29 января 202179 900 ₽Нетология
Основы HTML и CSS
1 февраля 2021БесплатноНетология
Факультет интернент-маркетинга
1 февраля 2021210 000 ₽GeekBrains

Лучшие публикации за сутки