В чем проблема
Эксперт Леонид Кролле совместно с независимым исследователем информационной безопасности Екатериной Маркеловой обнаружили логическую уязвимость в рекламном сервисе Google AdWords. Она позволяет всем желающим бесплатно демонстрировать рекламные баннеры на медиаплощадках Google во всем мире.
Обнаруженная возможность связана с ошибочной обработкой системой некорректных рекламных баннеров, созданных с помощью Google AdWords Editor. Если разместить CTA-кнопку с призывом к действию (кнопку клика для пользователя) за пределами баннера и сохранить его в файл ZIP, то после прохождения модерации и активации кампании баннер будет демонстрироваться бесплатно.
В результате некорректно сформированный баннер будет показан пользователям всех медиаплощадок Google из разных стран, причем за его показы не будут списываться деньги. Пользователи не смогут кликнуть на такой баннер, поскольку кнопка клика будет размещена за его пределами. Однако эксплуатация описанной уязвимости позволяет проводить масштабные "охватные" рекламные кампании, где главная цель — продемонстрировать рекламное предложение как можно большей аудитории.
В ходе эксперимента исследователям удалось добиться 56 миллионов бесплатных показов своего баннера за день. После активации показов на сервисе AdWords в течение дня-двух показ осуществляется с высокими показателями. Из-за того что кликов нет, рейтинг понижается, и количество показов сводится к минимуму, но, если загрузить еще один баннер, все повторится.
Как это исправить
Исследователи передали информацию о недокументированной возможности в Google. Представители американской компании не признали это уязвимостью системы и разрешили опубликовать отчет о ней. На вечер 10 июля 2017 года баг был по-прежнему актуален.