В рекламном сервисе Google AdWords обнаружена логическая уязвимость, позволяющая всем желающим демонстрировать рекламные баннеры на медиаплощадках Google во всем мире. Причем совершенно бесплатно.
Логическую уязвимость обнаружили специалист по IT-безопасности Леонид Кролле и независимый исследователь информационной безопасности Екатерина Маркелова.
Эксперты обнаружили, что если разместить CTA-кнопку с призывом к действию за пределами баннера и сохранить его в файл ZIP, то после активации кампании баннер будет демонстрироваться бесплатно.
Поскольку кнопка клика размещена за пределами баннера, пользователи не смогут на него кликнуть. Однако рекламодатели могут проводить масштабные «охватные» рекламные кампании, где главная цель — продемонстрировать рекламное предложение как можно большей аудитории.
В ходе эксперимента исследователи получили 56 млн бесплатных показов своего баннера за день. В течение 1-2 дней показ осуществлялся с высокими показателям. Затем рейтинг объявления понижается из-за отсутствия кликов. Но при загрузке нового баннера ситуация повторяется.
Информация об ошибке была передана в Google, однако компания не признала это уязвимостью системы и разрешила опубликовать отчет о ней.
Источник: Хакер