Vale, esta es buena. Hasta que alguien se ha cansado de almacenar datos estadísticos de todas las webs importantes que pudieran usarse para explotar este agujero de Google Sitemaps, no ha salido a la luz este importante bug de seguridad, privacidad y todas las “dad” que existen.

Al grano. Ayer se anunciaron las nuevas estadísticas que estaban disponibles en Google Sitemaps, pues bien, utilizando un sencillo truco (muy previsible) algunos han conseguido ver las estadísticas de sus competidores o de webs interesantes.

Google te pide que verifiques que una web es tuya añadiendo un archivo con una extensión al azar en la raiz de tus webs. Sin embargo, siendo un poco cabroncete puedes utilizar un 404, en los servidores que lo permitan, para engañar a Google y conseguir las estadísticas de otros en tu cuenta. David Naylor lo cuenta como lo hizo en detalle y nos muestra alguna de las capturas que hizo de las estadísticas de esta web.

No todas las webs que utilizan Google Sitemaps estaban en peligro, solamente aquellas con “malas” configuraciones de servidor. Aunque no creais, ebay, Aol y hasta el propio Orkut están entre ellas, así que no es algo de servidores caseros (según Naylor el 23% de los 100 primeros de Alexa podían ser “asaltadas”).

Lo importante (tanto que Google habla de la privacidad de nuestros datos en todas sus herramientas) es que si cometen estos errores gigantescos lo de la privacidad en Google es una mala broma.

En el faq de Google Sitemaps:

8. Qué medidas se toman para proteger mi privacidad?

Utilizamos el proceso de verificación para evitar que usuarios no autorizados vean estadísticas detalladas sobre su sitio. Sólo usted puede ver esos datos y únicamente tras verificar su sitio. No utilizamos el archivo de verificación que le pedimos que cree para ningún otro objetivo que no sea el de asegurarse de que pueda cargar archivos al sitio. Puede obtener más información sobre nuestro compromiso de privacidad aquí.

Comentan en tw que en wmw también saltó la liebre. También lo comentan en SEW, algunas de sus estadísticas son ahora (casi) de dominio público.

Estadísticas de la web de la casa blanca:

Top mejores cadenas donde está posicionada:
1. failure
2. w
3. failure
4. house
5. bush

Top cadenas que ofrecen más clicks:
1. failure
2. failure
3. white house
4. abraham lincoln
5. george washington

vía Jumiya
(que creo vende informes estadísticos de las webs más jugosas de España 😀 )
Yo no vi “nada” ….. jur, jur, jur 😀

Actualización:
Según parece el exploit ya fue detectado y corregido, así que si no anduviste rápido….

Google ha hecho público este mensaje:

Esta mañana hemos tenido noticias sobre un problema con la herramienta Google Sitemaps que podía hacer que los usuarios pudieran ver estadísticas de webs de las que no son propietarios. Hemos actuado rápidamente y hemos corregido el problema. Para verificar la seguridad de todas las webs que utilizan Google Sitemaps (a buenas horas mangas verdes) revisaremos todas las webs añadidas en la últimas 48 horas.