Hlavní navigace

Pozor na zneužití ověření pro Google Search Console

Daniel Dočekal 14. 9. 2015

Google Search Console (původní Google Webmaster Tools) je zdrojem hodně užitečných informací, na které může mít zálusk i někdo cizí.

Securi v Malicious Google Search Console Verifications upozorňuje na případy podvodného ověřování webu v Google Search Console a podobné aktivity řadí v zásadě i mezi Black Hat SEO praktiky. Nejčastěji k tomu dochází při napadení webu hackery.

Pokud někdo získá přístup do Google Search Console pro určitý web, tak to pro web samotný v zásadě žádné významné bezpečnostní riziko neznamená – útočník tak má pouze přístup k poměrně detailním informacím týkajícím se vyhledávání, klíčových slov, funkčnosti webu, případných objevených bezpečnostních nedostatků a některých dalších informací.

Pokud jste vlastník nějakého webu a nemáte ho zaregistrovaný v Google Search Console, tak je to v zásadě chyba. Informace poskytované v této pomůcce od Googlu už v řadě případů není možné získat nikde jinde (například informace o klíčových slovech, která přivádějí návštěvnost).

K aktivaci webu v Google Search Console slouží i přidání META značky (v podobě <meta name=„verify-v1“ content=„poměrně_dlouhý_kód“>) nebo nahrání ověřovacího souboru do hlavní složky webu. To je mimochodem také cesta, jak někdo cizí může web ověřit: pokud hacker získá přístup k webu, tak do něj umístí potřebnou informaci a tím si zajistí přístup do Google Search Console.

Vedle META značky, nahrání souborů je navíc možné ověřovat i doplnění DNS záznamů či napojení na účet u Google Analytics. Není od věci si čas od času ověřit, že jediné platné registrace jsou právě ty vaše. Jakkoliv získání přístupu k informacím o webu v Google Search Console není zásadně nebezpečné, je tam také pár věcí, které případný útočník může ovlivnit – třeba to, jak web bude indexován a zpracováván Googlem.

EBF16

Pokud už jste web měli v Google Search Console ověřený, pošle vám systém po případném novém ověření mailové upozornění. Pokud jste ho ale zaregistrovaný doposud neměli, tak se o tom nemáte jak dozvědět – v tomto případě si můžete pomoci tím, že si registraci zajistíte, a tím zároveň přijdete na to, jestli ji nemá i někdo jiný. Budete případně muset odstranit nahrané soubory či META značky – ale zároveň také možná vyřešit to, že přímo k vašemu webu má přístup někdo cizí.

Podle Securi se objevují i pokusy o sociálním inženýrství, kdy vlastníci webu obdrží e-mail, který po nich chce nahrát potřebný soubor na jejich web. Ve výše uvedeném varování ukazují i některé velmi zajímavé triky s ověřovacími soubory spojené. 

Našli jste v článku chybu?
Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

120na80.cz: Rodiče, pozor: jak dodat vitamín D bez rizika

Rodiče, pozor: jak dodat vitamín D bez rizika

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?