Ну, здравствуй, Хабр. Так уж сложилась моя личность, что будь я персонажем ролевой игры, моей способностью, однозначно, было бы накидывание экскрементов на промышленный вентилятор. Шутки шутками, но тема злободневная - я нашел уязвимость бизнес-профиля Google, позволяющую получить доступ к конфиденциальным данным компаний и их клиентов.
![Пример данных, к которым можно получить доступ Пример данных, к которым можно получить доступ](https://habrastorage.org/getpro/habr/upload_files/f19/3ee/caf/f193eecaf70209946d1a35b2501cd056.png)
Возможно не все читали обновления документации сервиса Мой бизнес, там немного изменились условия использования, и, в частности, введены новые правила разграничения доступа к управлению профилем компании: теперь в системе есть только 2 роли - владелец и администратор; ключевое отличие администратора от владельца - невозможность первому редактировать права второго. Иными словами, кто первый встал, того и тапки: если злоумышленнику удастся подтвердить на свой профиль компанию, отобрать ее у него будет весьма проблематично.
Подтверждение происходит на выбор - звонком по телефону или отправкой открытки от Google по почтовому адресу компании. Казалось бы, снимай трубку когда звонят и контролируй свой почтовый ящик, но как обычно и бывает, любая система имеет свои уязвимости.
Шутки ради, в конце прошлого лета мне удалось подтвердить на свой аккаунт бизнес-профиль одной из гостиниц неподалеку.
![Неплохие возможности могут открыться злоумышленнику Неплохие возможности могут открыться злоумышленнику](https://habrastorage.org/getpro/habr/upload_files/315/bcb/1e1/315bcb1e17cf6103f555e2122170c40d.png)
Система подтверждения Google имеет одну характерную особенность: после запроса кода подтверждения по почте, профиль будет доступен для управления с незначительными ограничениями в течение 30 дней (столько по мнению корпорации должна доставляться открытка посредством Почты России). По неизвестной мне причине, владелец организации не получил на почте открытку, а мой профиль, по мнению Google, имел статус "трастового", в связи с чем через 30 дней открылась бонусная опция - подтверждение путем приема смс на мой номер. Вероятно, это доверие связано с тем, что у меня на тот момент было на профиле 4 активных подтвержденных компании.
Сразу хочу отметить, что я не имел никакого умысла навредить кому бы то ни было, и все это время я выполнял позитивную функцию: благодарил клиенов за хорошие отзывы и выражал сожаление, если кто-то оставался недоволен.
![Персональные данные и название организации закрыты по понятным причинамё Персональные данные и название организации закрыты по понятным причинамё](https://habrastorage.org/getpro/habr/upload_files/140/b60/2ed/140b602ed0cd273ca890723dea0bdce3.png)
![Клиенты получают уведомления, когда организации отвечают на их отзывы Клиенты получают уведомления, когда организации отвечают на их отзывы](https://habrastorage.org/getpro/habr/upload_files/610/d06/9ee/610d069ee388d7186c1da8fa1e1834d7.png)
Как показывает статистика, вероятно, усилия не прошли даром, и следить за профилем на картах все же следует - обратите внимание на скриншоты.
![Промотры фото на 148% выше, чем у конкурентов Промотры фото на 148% выше, чем у конкурентов](https://habrastorage.org/getpro/habr/upload_files/892/ace/bd9/892acebd98542e7e6e00318e7f2105bd.png)
![Скачки просмотров коррелируются с уделенным профилю временем Скачки просмотров коррелируются с уделенным профилю временем](https://habrastorage.org/getpro/habr/upload_files/d59/43c/7f8/d5943c7f8e320d1731bbe374cf1541b1.png)
![Имеет место положительная динамика просмотров на карте и в поиске Имеет место положительная динамика просмотров на карте и в поиске](https://habrastorage.org/getpro/habr/upload_files/27f/d6d/e1a/27fd6de1aa1ea9b4172ca87ffefb16ec.png)
Несколько дней назад я задумался - имеет ли этот баг возможность повторения, и не из хулиганских побуждений, а с целью тестирования на проникновение, получил доступ к бизнес-профилю одного из филиалов главного музея Санкт-Петербурга: список подконтрольных компаний пополнился Аркой Главного Штаба.
![](https://habrastorage.org/getpro/habr/upload_files/b8e/158/cbe/b8e158cbec533650cac9f5867dbac27b.png)
![Скриншот личного кабинета Скриншот личного кабинета](https://habrastorage.org/getpro/habr/upload_files/0ce/d70/dd8/0ced70dd89b5f8ba6a94e86bcb19bb16.png)
Несмотря на то, что профиль компании на данный момент еще не подтвержден, мне без особого труда удалось:
получить доступ к управлению профилем организации в поиске;
![](https://habrastorage.org/getpro/habr/upload_files/721/2d9/1e7/7212d91e7e1a6ff948a7baa5d142d8ee.png)
запустить сайт hermitage-spb.business.site, на который направится поисковый трафик, с возможностью редактирования контактных данных;
![](https://habrastorage.org/getpro/habr/upload_files/66e/4b7/9b1/66e4b79b1a48e5373f1ed7515912d7d5.png)
настроить рекламную кампанию по продвижению организации в связке с этим сайтом.
![](https://habrastorage.org/getpro/habr/upload_files/ce8/592/a0c/ce8592a0cb71b3554e142888985dfb2e.png)
По факту обнаруженной уязвимости было предпринято следующее:
Написано официальное письмо в дирекцию музея на имя руководителя - содержание письма видно на скриншоте;
![](https://habrastorage.org/getpro/habr/upload_files/3f6/143/06d/3f614306d2d3fde270646359a4fcc33e.png)
![](https://habrastorage.org/getpro/habr/upload_files/982/e10/6e7/982e106e7e42f9dc328a8fcd146dfe95.png)
Написано письмо в техподдержку Google со ссылкой на данную публикацию;
Руководство гостиницы тоже уведомлено о ситуации, отправлено предложение передать управление профилем или продолжить его развитие на коммерческой основе.
Теперь традиционные вопросы к сообществу:
Возможно, данная уязвимость попадает под какую-нибудь актуальную программу баг-хантинга, и вероятно это прочтут знающие люди. Подскажите, куда оформить репорт, если его можно как-либо монетизировать, 50% автору первого толкового совета гарантирую)
Пользуясь случаем - возможно, это прочитают сотрудники HR департаментов: мне очень нужна работа! Удаленная. От технического писателя до менеджера проектов, могу и умею все, что не могу - тому быстро обучусь. Высшее техническое, 10+ лет в IT, резюме вышлю по запросу в лс.
Virion_GD
На счёт багхантинга, все зависит от гоогла. Они решают имеет ли данная уязвимость какую либо ценность. К тому же вы уже написали в поддержку, и доказать через какую либо платформу для баг хантеров будет практически не возможно, вам просто прийдёт ответ что у них есть уже информация о данной уязвимости. Вторая проблема вы выложили информаю об уязвимости в открытый доступ, что уже противоречит полите любой платформы. Вы должны были получить разрешение от Google на публикацию статьи. Скорее все ни о каком вознаграждение речи быть не может
jesusadmin Автор
ну, видно не судьба. кто ж знал)
saipr
"Век живи — век учись"
Луций Анней Сенека, 1 век нашей эры
jesusadmin Автор
не поспоришь)
OldWizard
возможно не очень по феншую, но можно рассмотреть вариант "скрыть публикацию", ткнуться в гугл и потом уже снова открыть
На авось, так скажем
jesusadmin Автор
Если от Google поступит соответствующая просьба, скрою незамедлительно)