Уязвимость позволяла удалить любой сайт из Google

В блоге британца Джеймса Брекенриджа появилось описание уязвимости сервиса Google Webmaster Tools, позволявшей удалить из поиска любой сайт - даже чужой.

18 июля в ходе тестирования британцу удалось удалить из поиска собственный сайт, не заходя в тот аккаунт Webmaster Tools, на который был подтвержден этот сайт. Затем Брекенридж удалил один из крупнейших мировых сайтов - по его заверениям, это произошло совершенно случайно. Наконец, для чистоты эксперимента он удалил блог одного из своих друзей - сайт был практически без контента и удаление было осуществлено с согласия владельца.

Британец поделился и инструкцией. Все, что было необходимо для успешного удаления сайта из индекса, - это URL вида:

https://www.Google.com/webmasters/tools/removals-request?hl=en&siteUrl=http://{YOUR_URL}/&urlt={URL_TO_BLOCK}

В данном случае, {YOUR_URL} - это адрес сайта, который пользователь действительно контролирует и права на который подтверждены через Google Webmaster Tools, а {URL_TO_BLOCK} - соответственно, кандидат на удаление.

После ввода данного адреса, пользователь оказывался на странице подтверждения запроса на удаление. Подобным образом можно было удалить не только сайт, но и отдельный раздел либо отдельную страницу.

В настоящее время "дыра", по всей видимости, уже устранена. Примечательно здесь и то, что блогеру не удалось оперативно связаться с представителями компании, а необходимые сведения "гугляне" почерпнули, очевидно, из мониторинга результатов поиска.

Напомним, что несколько ранее поисковый гигант в одном из своих официальных блогов объявил о вознаграждении за баги, найденные на сервисах компании. По этой же ссылке нетрудно найти адрес, куда следует обращаться в случае обнаружения "дыр".