Google heeft een beveiligingslek in de eigen zoekmachine gedicht waardoor het mogelijk was om zoekresultaten te manipuleren en de onderzoeker die het probleem rapporteerde met 1337 dollar beloond. Een bedrag dat zowel volgens de onderzoeker als critici te laag is voor de ernst van de kwetsbaarheid.
Tom Anthony, vice-president bij een online marketingbureau, slaagde erin om met een domein van slechts 12 dollar zonder eigen content op dezelfde plek in de zoekresultaten te komen als Amazon, Wallmart en andere grote bedrijven. Het gaat in dit geval om waardevolle zoekresultaten. Voor sommige van deze zoekwoorden wordt zo'n 1 dollar per click betaald en bedrijven geven maandelijks grote bedragen uit om als advertenties bij deze zoekwoordente verschijnen. Anthony wist door de kwetsbaarheid dit zonder kosten te doen.
Het bleek mogelijk te zijn voor een aanvaller om bij Google een XML-sitemap in te dienen voor een website waarvoor hij niet geauthenticeerd was. Door middel van hreflang-tags in dit bestand en redirects op de website van het slachtoffer was het mogelijk om de zoekresultaten te manipuleren en verkeer naar de malafide site te leiden. Google maakt van hreflang-tags gebruik om te kijken welk internationale versies van dezelfde webpagina bestaan.
Voor zijn aanval maakte Anthony een zogenaamde sitemap aan die werd gehost op het domein "evil.com", maar alleen url's voor het domein "victim.com" bevatte. Deze url's bevatten weer hreflag-vermeldingen voor een gelijkwaardige url op evil.com, die zich voordeed als de Amerikaanse versie van victim.com. Vervolgens maakte Anthony gebruik van een open redirect url op victim.com om de sitemap via Googles pingmechanisme aan te melden. Het is mogelijk om een sitemap via het bestand robots.txt op de webserver aan te melden of via een speciale ping-url. In dit laatste geval wordt het bestand door de Googlebot opgehaald en verschijnt dit niet in de Google Search Console van de website in kwestie.
Google werd op 23 september vorig jaar door Anthony over het probleem gewaarschuwd. De zoekgigant had echter moeite met het vinden van een oplossing. Uiteindelijk werd het probleem eind maart verholpen. Voor zijn werk kreeg Anthony een beloning van 1337 dollar. Een bedrag dat de onderzoeker aan de lage kant vindt, zo laat hij op Hacker News weten. Anthony krijgt bijval van allerlei anderen die vinden dat Google gezien de impact van deze kwetsbaarheid een hogere beloning had moeten uitkeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.