[Информационная безопасность] Как стать владельцем чужой организации в Google Maps?
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Одним тёплым вечером жена сказал что стала владельцем нашим Музеем Мирового океана, находящимся в Калининграде. Она просто нажала на кнопку "Я владелец компании" в Google картах.
Я не поверил этому, как такое вообще может быть? Для подтверждения она изменила адрес сайта в профиле организации, через минуту в нём стал отображаться новый URL. Передо мной стоял и улыбался новый владелец крупного музея.Мы сразу же вернули настоящий URL и принялись захватывать другие организации. Разумеется ничего не вышло. Каждый раз Google требовал подтверждения права собственности с помощью кода подтверждения из электронного письма, звонка по телефону или почтового уведомления.
Но как тогда получилось завладеть музеем? В тот вечер все мысли сводились к найденной уязвимости в системе верификации прав собственности на организации. Сразу был отправлен репорт в Google Bug Bounty со всей имеющейся информацией. А после я начал искать причины такого поведения системы верификации чтобы дополнить репорт новой информацией.За несколько дней я смог захватить и получить полный контроль над 11 организациями в Google Business. Я мог изменять информацию в профиле, загружать картинки, отвечать на отзывы, просматривать статистику и.т.д.
Профили захваченных организаций на Google My Business
У меня не получалось захватывать конкретные организации, все захваты получались наугад, ручным перебором по карте. Я не смог определить закономерность. Какие-либо манипуляции с моей стороны не увеличивали шансы на захват конкретной организации. Единственное моё заключение - всё происходит со стороны Google. Я записывал видео, делал скриншоты и сохранял HAR, для дальнейшей отправки инженерам по безопасности Google.Процесс захвата всегда оставался одним и тем же:1) Выбрать организацию на Google Maps;2) Нажать кнопку "Я владелец компании";3) В Google Business нажать кнопку "Управлять компанией".Видео процесса захватаИзвините, данный ресурс не поддреживается. :( Извините, данный ресурс не поддреживается. :( Извините, данный ресурс не поддреживается. :( Извините, данный ресурс не поддреживается. :( Извините, данный ресурс не поддреживается. :( Извините, данный ресурс не поддреживается. :( Извините, данный ресурс не поддреживается. :( Google посчитал это не уязвимостью, ссылаясь на машинное бучение и модерацию информации в картах сотрудниками. Дополнительные доказательства также не привели к пересмотру репорта. Раз это не уязвимость, я решил внести изменения в профиль одной из захваченных организаций. Добавил номер репорта в блок комментария от компании. Разумеется изменения прошли модерацию, я всё таки имею полный контроль, и через несколько минут отобразились в профиле организации.
После чего я сообщил в Google о внесённых изменениях. По прошествии 2 недель ответ от него не поступил. Я решил внести ещё изменения, ответил на отзыв.
Прошло 2 недели, но ответа нет. Тогда я добавил номер репорта в блок комментария от компании во все захваченные организации. Разумеется и в этом случае Google молчал. Уже больше месяца внесённые изменения никто не удалил. Я решил внести кардинальные изменения в профиль одной из компаний. Картиночка
В конечном счёте, через месяц я смог получить от Google ответ, с просьбой перестать им писать. За 2 месяца внесённые изменения никто не удалил. В качестве последней попытки доказать наличие уязвимости я внёс максимальное количество изменений во все профили захваченных организаций. Полностью нарушив деятельность организаций в Google Maps. Хорошо это или плохо? Скорее всего плохо, но другого способа привлечь внимание к наличию проблемы я не придумал. Так же нужно учитывать что с момента создания репорта прошло уже 3 месяца. Все правки прошли модерацию за час и карта стала выглядеть следующим образом:Картиночка
Google отказался от пересмотра репорта сославшись на то, что получение полного контроля над профилем чужой организации - это не уязвимость. И наконец-то удалил все мои внесённые изменения. Неизвестно сколько бы они ещё продержались, не сообщи я о них. Месяц, год?Вывод я сделал следующий - злоумышленник может захватить организацию и подменить адрес сайта на фишинговый, а жертва с радостью отправит ему свои деньги. Купит билеты в кино, оплатит новый iPhone, забронирует стол в ресторане, оплатит доставку еды и.т.д.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Платежные системы] Большая ретроспектива участия RBK.money в The Standoff 2020
- [Информационная безопасность, Социальные сети и сообщества] Настройки приватности Facebook VS OSINT
- [Информационная безопасность, Управление персоналом, Удалённая работа] Microsoft пообещала поменять систему слежки за сотрудниками Productivity Score после волны критики от экспертов
- [Информационная безопасность, Криптография, Научно-популярное] Как победить гроссмейстера, не умея играть в шахматы. Про злоупотребление доказательства с нулевым знанием
- [Информационная безопасность, Python, Программирование] Проверим тысячи пакетов PyPI на вредоносность (перевод)
- [Информационная безопасность, Криптография, Научно-популярное, Биотехнологии] Генерация случайных чисел с помощью ДНК
- [Информационная безопасность, Разработка под iOS, Смартфоны] Эксплойт памяти ядра в iPhone позволял красть данные без участия пользователя по Wi-Fi
- [Спам и антиспам, Информационная безопасность] Почему платить за удаление украденных данных – это безумие
- [Информационная безопасность, Разработка веб-сайтов, Habr, Тестирование веб-сервисов] Подробное руководство по HTML инъекциям (перевод)
- [Информационная безопасность, Тестирование IT-систем, Разработка под Windows] Как работают эксплойты по повышению привилегий в ОС Windows
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_google_maps, #_bug_bounty, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:50
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Одним тёплым вечером жена сказал что стала владельцем нашим Музеем Мирового океана, находящимся в Калининграде. Она просто нажала на кнопку "Я владелец компании" в Google картах. Я не поверил этому, как такое вообще может быть? Для подтверждения она изменила адрес сайта в профиле организации, через минуту в нём стал отображаться новый URL. Передо мной стоял и улыбался новый владелец крупного музея.Мы сразу же вернули настоящий URL и принялись захватывать другие организации. Разумеется ничего не вышло. Каждый раз Google требовал подтверждения права собственности с помощью кода подтверждения из электронного письма, звонка по телефону или почтового уведомления. Но как тогда получилось завладеть музеем? В тот вечер все мысли сводились к найденной уязвимости в системе верификации прав собственности на организации. Сразу был отправлен репорт в Google Bug Bounty со всей имеющейся информацией. А после я начал искать причины такого поведения системы верификации чтобы дополнить репорт новой информацией.За несколько дней я смог захватить и получить полный контроль над 11 организациями в Google Business. Я мог изменять информацию в профиле, загружать картинки, отвечать на отзывы, просматривать статистику и.т.д. Профили захваченных организаций на Google My Business У меня не получалось захватывать конкретные организации, все захваты получались наугад, ручным перебором по карте. Я не смог определить закономерность. Какие-либо манипуляции с моей стороны не увеличивали шансы на захват конкретной организации. Единственное моё заключение - всё происходит со стороны Google. Я записывал видео, делал скриншоты и сохранял HAR, для дальнейшей отправки инженерам по безопасности Google.Процесс захвата всегда оставался одним и тем же:1) Выбрать организацию на Google Maps;2) Нажать кнопку "Я владелец компании";3) В Google Business нажать кнопку "Управлять компанией".Видео процесса захватаИзвините, данный ресурс не поддреживается. :( Извините, данный ресурс не поддреживается. :( Извините, данный ресурс не поддреживается. :( Извините, данный ресурс не поддреживается. :( Извините, данный ресурс не поддреживается. :( Извините, данный ресурс не поддреживается. :( Извините, данный ресурс не поддреживается. :( Google посчитал это не уязвимостью, ссылаясь на машинное бучение и модерацию информации в картах сотрудниками. Дополнительные доказательства также не привели к пересмотру репорта. Раз это не уязвимость, я решил внести изменения в профиль одной из захваченных организаций. Добавил номер репорта в блок комментария от компании. Разумеется изменения прошли модерацию, я всё таки имею полный контроль, и через несколько минут отобразились в профиле организации. После чего я сообщил в Google о внесённых изменениях. По прошествии 2 недель ответ от него не поступил. Я решил внести ещё изменения, ответил на отзыв. Прошло 2 недели, но ответа нет. Тогда я добавил номер репорта в блок комментария от компании во все захваченные организации. Разумеется и в этом случае Google молчал. Уже больше месяца внесённые изменения никто не удалил. Я решил внести кардинальные изменения в профиль одной из компаний. Картиночка В конечном счёте, через месяц я смог получить от Google ответ, с просьбой перестать им писать. За 2 месяца внесённые изменения никто не удалил. В качестве последней попытки доказать наличие уязвимости я внёс максимальное количество изменений во все профили захваченных организаций. Полностью нарушив деятельность организаций в Google Maps. Хорошо это или плохо? Скорее всего плохо, но другого способа привлечь внимание к наличию проблемы я не придумал. Так же нужно учитывать что с момента создания репорта прошло уже 3 месяца. Все правки прошли модерацию за час и карта стала выглядеть следующим образом:Картиночка Google отказался от пересмотра репорта сославшись на то, что получение полного контроля над профилем чужой организации - это не уязвимость. И наконец-то удалил все мои внесённые изменения. Неизвестно сколько бы они ещё продержались, не сообщи я о них. Месяц, год?Вывод я сделал следующий - злоумышленник может захватить организацию и подменить адрес сайта на фишинговый, а жертва с радостью отправит ему свои деньги. Купит билеты в кино, оплатит новый iPhone, забронирует стол в ресторане, оплатит доставку еды и.т.д. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:50
Часовой пояс: UTC + 5