Про уязвимости в системе и баг-хантинг

Ну, здравствуй, Хабр. Так уж сложилась моя личность, что будь я персонажем ролевой игры, моей способностью, однозначно, было бы накидывание экскрементов на промышленный вентилятор. Шутки шутками, но тема злободневная — я нашел уязвимость бизнес-профиля Google, позволяющую получить доступ к конфиденциальным данным компаний и их клиентов.

Возможно не все читали обновления документации сервиса Мой бизнес, там немного изменились условия использования, и, в частности, введены новые правила разграничения доступа к управлению профилем компании: теперь в системе есть только 2 роли — владелец и администратор; ключевое отличие администратора от владельца — невозможность первому редактировать права второго. Иными словами, кто первый встал, того и тапки: если злоумышленнику удастся подтвердить на свой профиль компанию, отобрать ее у него будет весьма проблематично.
Подтверждение происходит на выбор — звонком по телефону или отправкой открытки от Google по почтовому адресу компании. Казалось бы, снимай трубку когда звонят и контролируй свой почтовый ящик, но как обычно и бывает, любая система имеет свои уязвимости.

Шутки ради, в конце прошлого лета мне удалось подтвердить на свой аккаунт бизнес-профиль одной из гостиниц неподалеку.

Система подтверждения Google имеет одну характерную особенность: после запроса кода подтверждения по почте, профиль будет доступен для управления с незначительными ограничениями в течение 30 дней (столько по мнению корпорации должна доставляться открытка посредством Почты России). По неизвестной мне причине, владелец организации не получил на почте открытку, а мой профиль, по мнению Google, имел статус «трастового», в связи с чем через 30 дней открылась бонусная опция — подтверждение путем приема смс на мой номер. Вероятно, это доверие связано с тем, что у меня на тот момент было на профиле 4 активных подтвержденных компании.

Сразу хочу отметить, что я не имел никакого умысла навредить кому бы то ни было, и все это время я выполнял позитивную функцию: благодарил клиенов за хорошие отзывы и выражал сожаление, если кто-то оставался недоволен.

Как показывает статистика, вероятно, усилия не прошли даром, и следить за профилем на картах все же следует — обратите внимание на скриншоты.

Несколько дней назад я задумался — имеет ли этот баг возможность повторения, и не из хулиганских побуждений, а с целью тестирования на проникновение, получил доступ к бизнес-профилю одного из филиалов главного музея Санкт-Петербурга: список подконтрольных компаний пополнился Аркой Главного Штаба.

Несмотря на то, что профиль компании на данный момент еще не подтвержден, мне без особого труда удалось:

• получить доступ к управлению профилем организации в поиске;

• запустить сайт hermitage-spb.business.site, на который направится поисковый трафик, с возможностью редактирования контактных данных;

• настроить рекламную кампанию по продвижению организации в связке с этим сайтом.

По факту обнаруженной уязвимости было предпринято следующее:

• Написано официальное письмо в дирекцию музея на имя руководителя — содержание письма видно на скриншоте;

• Написано письмо в техподдержку Google со ссылкой на данную публикацию;

• Руководство гостиницы тоже уведомлено о ситуации, отправлено предложение передать управление профилем или продолжить его развитие на коммерческой основе.

  Теперь традиционные вопросы к сообществу:

  1. Возможно, данная уязвимость попадает под какую-нибудь актуальную программу баг-хантинга, и вероятно это прочтут знающие люди. Подскажите, куда оформить репорт, если его можно как-либо монетизировать, 50% автору первого толкового совета гарантирую)

  2. Пользуясь случаем — возможно, это прочитают сотрудники HR департаментов: мне очень нужна работа! Удаленная. От технического писателя до менеджера проектов, могу и умею все, что не могу — тому быстро обучусь. Высшее техническое, 10+ лет в IT, резюме вышлю по запросу в лс.