“Affossare” un sito web concorrente agendo semplicemente su un link? Non è fantascienza ma quanto era possibile fare modificando “ad arte” un URL del servizio Webmaster Tools (o “Strumenti per i webmaster“, in italiano) di Google.
Protagonista della scoperta è stato James Breckenridge, un ricercatore che – dalle pagine del suo blog – ha reso pubblici tutti i dettagli circa la “vulnerabilità”, subito presa in carico dai tecnici di Google.
Premessa. Google mette a disposizione di tutti gli interessati, uno strumento che permette di richiedere la rimozione di qualunque pagina degli indici del motore di ricerca. La domanda di eliminazione dei contenuti deve essere inoltrata dal proprietario del sito web utilizzando un apposito strumento accessibile mediante il servizio “Strumenti per i webmaster“.
Per verificare che la richiesta di rimozione delle pagine provenga proprio da chi le ha realizzate o comunque da un utente autorizzato, Google ha predisposto alcune procedure. La prima consiste nel caricare un file HTML nella directory radice del sito web sebbene, in alternativa, il webmaster possa aggiungere un’apposita metatag alle pagine del sito, inserire un link al proprio account Google Analytics od un record DNS apposito.
Cos’ha scoperto James Breckenridge? Semplice. Digitando l’URL https://www.google.com/webmasters/tools/removals-request
ed abbinandovi due parametri particolari, era possibile richiedere l’eliminazione, dal motore di ricerca, di un indirizzo appartenente a terze parti. La semplicissima procedura consentiva di bloccare un intero sito web, specificandone solo il nome a dominio, delle sottosezioni o delle pagine specifiche.
Google ha immediatamente disattivato la funzionalità per la rimozione delle pagine web dal servizio “Strumenti per i webmaster” e, secondo quanto riferito, i tecnici sarebbero già al lavoro per sanare la problematica. Che, tra l’altro, dovrebbe essere anche piuttosto semplice da risolvere.
La società di Mountain View, inoltre, dovrebbe essere in grado di stabilire da quali account sono pervenute le richieste di rimozione indebita degli URL e di ristabilire la situazione iniziale.