許多網站會將Google的工具給許多帳號存取,例如將Google Analytics流量統計分析工具以及Google Webmasters Tool網站管理者工具,給予SEO公司或是許多員工都可以看到或是修改設定。但是現在出現了這些權限的漏洞,原本可以存取的帳號如果被取消權限之後,竟然還是可以存取 …
這篇”Google Security Alert: Unverified Users Regain Webmaster Tools, Analytics Access“說,一位資深的SEO專家David Naylor發現了這個安全的漏洞,並且打趣的說你現在可以從這些帳號看到,你的SEO客戶被誰搶走了,或是你搶到誰的客戶。
尤其現在的Google工具有更強大的功能,例如Disavow Link Tool,或是轉址與地區設定,或是可以看到你的關鍵字表現等等。因此如果這些功能被惡意使用的話,你的網站可能會發生很嚴重的問題。
David並且緊急通知了Google的Matt Cutts,希望他可以讓Google盡快修正這個可怕的安全漏洞。
這個問題可能發生在Google重新把帳號重新verified,也就是重新讓舊帳號又再一次取得權限,如下圖:
因此就可以看到帳號被允許的過程資料,如下圖:
不知道為什麼會發生重新給予權限的誇張問題,會不會也是Google的離職員工搞出來的呢? 這次發生這個問題,有點讓人擔心Google的安全控管是否出了問題。
不管這個Google工具漏洞是否已經修正,你應該定期的去看看,到底你的SEO工具有哪些人可以存取,並且定期的更改密碼,以防止舊的SEO公司或是離職員工還經常回家來開你的冰箱。
[補充]
再發生這個問題的數小時之後,Google已經把安全漏洞修復。Google說: “For several hours yesterday a small set of Webmaster Tools accounts were incorrectly re-verified for people who previously had access. We’ve reverted these accounts and are investigating ways to prevent this issue from recurring.” 在發生這個問題的幾個小時之後,我們已經回復這些帳號,並且探究各種方式以防止事情再度發生。