Одним теплым вечером моя жена сказала, что стала владелицей нашего Музей Мирового океана , расположенная в Калининграде.
Она просто нажала кнопку «Я владелец компании» в картах Google. 
Я не поверил, как такое вообще могло быть? Для подтверждения она изменила адрес сайта в профиле организации, и через минуту там начал отображаться новый URL. Новый владелец большого музея стоял передо мной и улыбался.
Мы немедленно вернули настоящий URL и начали захватывать другие организации.
Конечно, не получилось.
Каждый раз Google требовал подтверждение права собственности с помощью проверочного кода из электронного письма, телефонного звонка или почтового уведомления.
Но как вам удалось тогда захватить музей? В тот вечер все мысли сводились к найденной уязвимости в системе проверки принадлежности организаций.
В Google Bug Bounty был немедленно отправлен отчет со всей доступной информацией.
И тогда я начал искать причины такого поведения системы проверки, чтобы дополнить отчет новой информацией.
Всего за несколько дней мне удалось взять на себя управление и получить полный контроль над 11 организациями Google Business. Я мог менять информацию профиля, загружать фотографии, отвечать на отзывы, просматривать статистику и т. д. 
Профили захваченных организаций в Google My Business 
Мне не удалось захватить конкретные организации; все снимки были сделаны случайным образом, путем ручного поиска по карте.
Я не смог определить закономерность.
Никакие манипуляции с моей стороны не увеличивали шансов на поимку той или иной организации.
Мой единственный вывод: все происходит со стороны Google. Я записал видео, сделал снимки экрана и сохранил HAR для последующей отправки инженерам по безопасности Google. Процесс захвата всегда оставался прежним: 1) Выберите организацию на Google Maps; 2) Нажмите кнопку «Я владелец компании»; 3) В Google Business нажмите кнопку «Управление компанией».
Видео процесса захвата В Google посчитали это не уязвимостью, сославшись на машинное обучение и модерацию информации на картах сотрудниками.
Дополнительные доказательства также не привели к пересмотру отчета.
Поскольку это не уязвимость, я решил внести изменения в профиль одной из захваченных организаций.
Добавил номер отчета в блок комментариев от компании.
Разумеется, изменения прошли модерацию, у меня остается полный контроль, и через несколько минут они отобразились в профиле организации.
После чего я сообщил Google о внесенных изменениях.
Через 2 недели от него не было ответа.
Я решил внести еще некоторые изменения и ответил на отзыв.
Прошло 2 недели, а ответа нет. Затем я добавил номер отчета в блок комментариев от компании ко всем захваченным организациям.
Разумеется, и в этом случае Google промолчал.
Уже больше месяца никто не удаляет внесенные изменения.
Я решил внести кардинальные изменения в профиль одной из компаний.
Картина 
В конечном итоге, через месяц я смог получить ответ от Google с просьбой прекратить им писать.
За 2 месяца внесенные изменения никто не удалил.
В качестве последней попытки доказать уязвимость я внес как можно больше изменений во все профили захваченных организаций.
Полное нарушение деятельности организаций на Google Maps. Это хорошо или плохо? Скорее всего это плохо, но другого способа привлечь внимание к проблеме я не придумал.
Также нужно учитывать, что с момента создания отчета прошло уже 3 месяца.
Все правки прошли модерацию в течение часа и карта стала выглядеть так: Картина 
В Google отказались рассматривать отчет, сославшись на то, что получение полного контроля над профилем другой организации не является уязвимостью.
И наконец удалил все мои изменения.
Неизвестно, как долго бы они продолжались, если бы я о них не сообщил.
Месяц год? Я пришел к следующему выводу: злоумышленник может завладеть организацией и подменить адрес сайта на фишинговый, а жертва с радостью отправит ему свои деньги.
Купить билеты в кино, оплатить новый iPhone, забронировать столик в ресторане, оплатить доставку еды и т. д. Теги: #информационная безопасность #Google #bug bounty #google карты
-
Экзель, Ричард
19 Oct, 24 -
Где Вы Храните Свои Денежные Сбережения?
19 Oct, 24
