Пользователь «Хабрахабр» обнаружил способ украсть трафик чужого сайта через «Яндекс.Вебмастер»
С доступом к «Яндекс.Вебмастер» можно сменить главное зеркало сайта на дубликат, которому достанется весь трафик. Пока контент на зеркалах совпадает, расклеить зеркала нельзя даже вручную.
На «Хабрахабр» опубликована статья, раскрывающая уязвимость сервиса «Яндекс.Вебмастер». Автор утверждает, что с доступом к сервису можно сменить главное зеркало сайта на дубликат, которому в итоге достанется весь трафик. Пока контент на зеркалах совпадает, расклеить зеркала нельзя даже вручную, поэтому техподдержка «Яндекс» разводит руками.
Предложения
Сервис не уведомляет владельца сайта о смене главного зеркала, поэтому вмешательство может остаться незамеченным до того, как пропадет трафик. Автор статьи на «Хабрахабр» предлагает несколько идей, чтобы закрыть уязвимость:
- Давать преимущество старому зеркалу перед новым;
- Присылать на почту письмо для подтверждения смены основного зеркала;
- Уведомлять владельца сайта о смене зеркала по СМС.
Также он советует проверять раздел «Пользователи, управляющие сайтом» на наличие лишних людей и призывает распространить сообщение как можно шире, поскольку она все еще активна.