«Дыра» в Search Console давала возможность перехватывать поисковый трафик веб-сайтов

Корпорация Google выплатила символическую сумму в размере 1337 долларов США за уязвимость, которая была найдена в Search Console Томом Энтони (Tom Anthony) — ключевым сотрудником (главой) подразделения Product Research & Development. В настоящее время брешь ликвидирована, обеспечив тем самым безопасность миллионов пользователей.

Поделился своим открытием Том Энтони в собственном блоге, опубликовав подробнейший пост, который освещал все нюансы уязвимости. Суть проблемы состояла в том, что найденная уязвимость в SC давала возможность отправлять XML-карту веб-сайта, которая была сделана для контролируемого им ресурса таким образом, как будто XML-карта принадлежала иному, не подконтрольному ему, веб-ресурсу.

Если говорить кратко, то данная уязвимость позволяла перехватывать трафик у более "раскрученного" сайта, используя его в качестве донора для менее посещаемого ресурса. Что позволяло в течение 48 часов выводить тестовый сайт на первую страницу по запросам. А весь принцип состоит в том, что Search Console отображала два сайта как связанные между собой.

Сам  Том Энтони уверен, что вознаграждение, которое он получил, несоизмеримо с той выгодой, которую имел привлеченный посредством использования уязвимости трафик.