Hlavní navigace

Pozor na zneužití ověření pro Google Search Console

Daniel Dočekal

Google Search Console (původní Google Webmaster Tools) je zdrojem hodně užitečných informací, na které může mít zálusk i někdo cizí.

Securi v Malicious Google Search Console Verifications upozorňuje na případy podvodného ověřování webu v Google Search Console a podobné aktivity řadí v zásadě i mezi Black Hat SEO praktiky. Nejčastěji k tomu dochází při napadení webu hackery.

Pokud někdo získá přístup do Google Search Console pro určitý web, tak to pro web samotný v zásadě žádné významné bezpečnostní riziko neznamená – útočník tak má pouze přístup k poměrně detailním informacím týkajícím se vyhledávání, klíčových slov, funkčnosti webu, případných objevených bezpečnostních nedostatků a některých dalších informací.

Pokud jste vlastník nějakého webu a nemáte ho zaregistrovaný v Google Search Console, tak je to v zásadě chyba. Informace poskytované v této pomůcce od Googlu už v řadě případů není možné získat nikde jinde (například informace o klíčových slovech, která přivádějí návštěvnost).

K aktivaci webu v Google Search Console slouží i přidání META značky (v podobě <meta name=„verify-v1“ content=„poměrně_dlouhý_kód“>) nebo nahrání ověřovacího souboru do hlavní složky webu. To je mimochodem také cesta, jak někdo cizí může web ověřit: pokud hacker získá přístup k webu, tak do něj umístí potřebnou informaci a tím si zajistí přístup do Google Search Console.

Vedle META značky, nahrání souborů je navíc možné ověřovat i doplnění DNS záznamů či napojení na účet u Google Analytics. Není od věci si čas od času ověřit, že jediné platné registrace jsou právě ty vaše. Jakkoliv získání přístupu k informacím o webu v Google Search Console není zásadně nebezpečné, je tam také pár věcí, které případný útočník může ovlivnit – třeba to, jak web bude indexován a zpracováván Googlem.

EBF17 Casseti

Pokud už jste web měli v Google Search Console ověřený, pošle vám systém po případném novém ověření mailové upozornění. Pokud jste ho ale zaregistrovaný doposud neměli, tak se o tom nemáte jak dozvědět – v tomto případě si můžete pomoci tím, že si registraci zajistíte, a tím zároveň přijdete na to, jestli ji nemá i někdo jiný. Budete případně muset odstranit nahrané soubory či META značky – ale zároveň také možná vyřešit to, že přímo k vašemu webu má přístup někdo cizí.

Podle Securi se objevují i pokusy o sociálním inženýrství, kdy vlastníci webu obdrží e-mail, který po nich chce nahrát potřebný soubor na jejich web. Ve výše uvedeném varování ukazují i některé velmi zajímavé triky s ověřovacími soubory spojené. 

Našli jste v článku chybu?