Хакер #305. Многошаговые SQL-инъекции
В последнее время среди компаний набирает популярность услуга так называемого «менеджмента репутации в онлайне» (Online Reputation Management или просто ORM). Её суть заключается в мониторинге отзывов о компании в интернете, урегулировании конфликтов и смягчении негативного влияния от нежелательных результатов поиска или упоминания в онлайновых медиа о компании или каком-то из её продуктов. Технология ORM включает в себя также генерацию нового контента и создание сообщений в ответ на существующий контент. Например, написание отзывов на форумах и в тематических сообществах, ведение блога, комментарии в СМИ от имени компании и проч.
ORM — вполне легальный сервис, которым пользуются многие крупные компании. Исполнителями являются тоже уважаемые пиар-фирмы и профессионалы, но и среди них встречаются «паршивые овцы», которые используют нелегальные хакерские методы. Забавную историю рассказывает Fox News о сервисе Rexxfield, уютно расположившемся в Калифорнии. Теперь, похоже, ему самому понадобится немало усилий, чтобы «отмыть» собственную репутацию.
По словам Даррена Мида (Darren Meade), бывшего CEO одной из калифорнийских компаний, владелец Rexxfield Майкл Робертс (Michael Roberts) поделился своим намерением купить и применить некий «хакерский код» для взлома сайтов с целью небольшого изменения их содержимого. По утверждению Мида, использование такого кода позволяет внедрить тег “noindex” непосредственно в исходный код страниц на сайтах, и избежать индексации поисковыми машинами, и тем самым скрыть страницы с жалобами от многочисленных глаз пользователей.
По словам Мида, Робертс даже продемонстрировал ему эффективность своего не вполне легального решения, внедрив “noindex” на популярную «жалобную книгу» Ripoff Report. «Он просто сказал мне, «посмотри, что происходит, — говорит Мид. — И я увидел, как результаты упали. Они могли отредактировать так всё, что угодно».
Как пишет Fox News, Даррен Мид также заявляет, что стал свидетелем разговора Робертса и сотрудников его компании, во время которого обсуждались различные неэтичные методы управления репутацией онлайн, включая основанные на страхе маркетинговые кампании.
Понятное дело, Робертс все обвинения отрицает. До сегодняшнего момента заявления Мида так и остаются всего лишь заявлениями, поскольку ни одна поисковая машина не обнаружила следов использования того самого хакерского кода. Однако, факт остается фактом: не стоит отрицать того, что некоторые сайты, которые занимаются «менеджментом репутации», всё же используют незаконные способы для получения своей выгоды.
Что касается якобы пострадавшего сайта Ripoff Report, то он также не может предоставить убедительных доказательств в пользу слов Даррена Мида, однако заявляет, что раскрыл схемы работы некоторых ORM-компаний, связанные с изменением кода «неудобных» сайтов. Правда, на данный момент http://www.ripoffreport.com лежит под DDoS'ом, видимо, наговорили лишнего.