141

Gdy Google stwierdzi, że twoja strona jest niebezpieczna – to wiedz, że masz duży problem

Wyobraź sobie, że jesteś przedsiębiorcą internetowy i pewnego pięknego dnia Google uznaje iż twój biznes w sieci jest niebezpieczny. Każdy kto wchodzi na twoją stronę widzi przepiękny czerwony komunika ostrzegający o zagrożeniu w postaci na przykład phishingu. Myślicie, że łatwo się z takiej sytuacji wyplątać? Telefon czy mail załatwiają sprawę? Tak to teoretyczni powinno działać, […]


Wyobraź sobie, że jesteś przedsiębiorcą internetowy i pewnego pięknego dnia Google uznaje iż twój biznes w sieci jest niebezpieczny. Każdy kto wchodzi na twoją stronę widzi przepiękny czerwony komunika ostrzegający o zagrożeniu w postaci na przykład phishingu. Myślicie, że łatwo się z takiej sytuacji wyplątać? Telefon czy mail załatwiają sprawę? Tak to teoretyczni powinno działać, przecież Google „może zabić” takim komunikatem. Jak to jest w praktyce opowiada Paweł Fornalski, z którym rozmawiam na temat sytuacji jaka wydarzyła się w ostatnich dniach z IAI Shop (Google z niewiadomych przyczyny zakwalifikowało stronę firmy i klientów jako niebezpieczne)

Paweł, można śmiało powiedzieć że w ostatnich dniach twoja firma (i jej klienci ) przeżyła horror – jak to się zaczęło i co się stało tak naprawdę stało?

Na skutek błędu Google w mechanizmie tzw. Google Safe Browsing do bazy stron phishingowych czyli takich, które łamią prawo wyłudzając dane został wpisany ciąg “*ai-shop.com/panel*”. Z bazy GSB korzystają przeglądarki Chrome, FireFox i Safari. Tym samym odwiedzający naszą stronę www.iai-shop.com otrzymywali informację, że strona wyłudza dane. Ponieważ większość ludzi działa odruchowo i nie czyta informacji, uznawała że strona nie działa lub padła ofiarą ataku. Nic takiego nie miało miejsca. Potwierdziły to zresztą same skanery Google, które wykazały że nigdy dla naszej strony czy stron klientów nie było żadnych ostrzeżeń czy zagrożeń dla odwiedzających. Wszystkie szczegóły tej sprawy można znaleźć na stronie http://www.iai-shop.com/pr-press-release.phtml?id=1235323918

Zbadaliście sprawę ? Jesteście pewni, że nie ma w tym waszej winy? Może to efekt działań któregoś z klientów IAI ?

Absolutnie nie ma tu mowy o tym, że jakiś jeden klient wpłynął na działanie innych. Stosujemy wiele serwerów fizycznych widocznych pod odrębnymi adresami IP. Każdy sklep jest specjalnie separowany i działa pod swoją osobną domeną. Gdyby została wpisana konkretna strona, można było by przypuszczać, że to ona jest winna. Tym czasem albo na skutek błędu programu Google albo na skutek działania jakiegoś jej pracownika został wpisany bardzo rozmyty ciąg, który uderzył we wszystkich. Obecnie jesteśmy na etapie wezwania Google Polska do wyjaśnienia sprawy. Jeżeli to nie nastąpi, złożymy wniosek do prokuratury i sądu, gdyż pomówienie innych firm o phishing czyli działania kradzieży danych to przestępstwo i ktoś musi sprawę wyjaśnić i odpowiedzieć.

Wszystko jednak po 3 dniach intensywnych ustaleń wskazuje na karygodne zaniedbania ze strony Google. W Internecie na szczęście można znaleźć artykuły opisujące algorytm zbierania takich stron. Każda rozgarnięta technicznie osoba po lekturze tego artykułu złapie się za głowę. W zasadzie każda strona stosująca odwołania do popularnych marek i zawierająca pola login i hasło oraz odrobinę JavaScript może zostać potraktowana przez Google jako wyłudzająca.
Nie muszę chyba podkreślać jak potężną bronią dysponuje Google. Jednym wpisem może zablokować np. wszystkie strony zawierające treść ”obama bad president” na 2 tygodnie przed wyborami prezydenckimi w USA. Najgorsze w tym wszystkim jest to, że w takim przypadku ślepo pobierają bazę GSB inne przeglądarki. Problem dotyczy nie tylko osób korzystających z Google Search, ale ogólnie internautów. Około 90% z nich zadziała odruchowo stwierdzając, że strona nie działa. Tym samym przekazanie np. niezależnej i nieprzychylnej opinii może być skutecznie zablokowane, nawet gdy zostanie rozesłana e-mailem, Facebook czy Twitterem. Dodatkowym smaczkiem jest to, że dla takich stron również Gmail blokuje e-maile. Za to nasze AdWordsy były cały czas wyświetlane i Google kasował za nie pieniądze.

Można zatem powiedzieć, że poza kontrolą ludzi, Google pod hasłem don’t be evil zrobiła bardzo potężną broń z której działania mało kto zdaje sobie sprawę. My niestety dowiedzieliśmy się i był to zimny prysznic. My na szczęście dysponujemy odpowiednimi zasobami ludzi i serwerów oraz wiedzą jak w ogóle taką blokadę bez podania żadnych wskazówek obejść. Zajęło nam to pracowite 3 dni i dla IAI nie było długiego weekendu. Przeraża mnie jednak myśl o tym, że ten problem mógł dotknąć kogoś kto ma sklep internetowy, którym sam administruje. Praktycznie taki wypadek oznaczałby konieczność zmiany domeny internetowej a więc stratę marki, pozycji SERP i wszystkiego tego na co sklep pracuje przez lata.

Dzisiaj rano na szczęście Google po naszych pismach wysłanych na wszelkie możliwe dane kontaktowe jakie posiadaliśmy, czyli po długim weekendzie usunęło blokadę. Teraz przyjdzie czas na analizę i naprawę szkody wyrządzonej nam i tysiącom polskich sklepów internetowych. Problem może się wydawać banalny i nieistotny, jednak gdy się go doświadczy, otwierają się oczy jakie mogą być skutki dalszego braku kontroli podobnych mechanizmów i oddawanie komputerom kontroli nad nimi.

Co dalej? Czy jesteś w stanie powiedzieć na jakie straty została narażona firma która można to chyba powiedzieć przez 3 dni nie działał (na szczęście był to weekend)?

Straty są ogromne. IAI utraciła na pewno kilka zamówień na nowe sklepy. Dodatkowo mnóstwo ludzi musiało pracować po godzinach aby wypracować obejścia i ustalić co się dzieje. Dzisiaj od rana musimy każdemu klientowi tłumaczyć co się stało. Większe szkody są jednak na wizerunku, bo wielu z nich nie wierzy, że Google może się mylić. To nie mieści się w ich obrazie uproszczonego świata Internetu. Kilkadziesiąt tysięcy osób zobaczyło wiadomość na naszej stronie i nigdy nie uda się do końca naprawić tej szkody. Aby podać konkretną kwotę potrzebujemy więcej czasu. Wszystko zależy od samego Google. Jeżeli prześle wytłumaczenie, przeprosiny itp. które będziemy mogli pokazać, straty będą mniejsze. Jeżeli zignoruje nasze listy to będziemy musieli iść do sądu, co potrwa pewnie wiele miesięcy, podczas których strata się powiększy.

Jednak to nie koniec strat. Wymieniłem tylko nasze, które są jedynie wierzchołkiem góry lodowej. Znacznie większe straty ponieśli łącznie nasi klienci. Można przyjąć że problemem było dotkniętych około 1500 sklepów. Jeżeli zestawimy to z tym, że średnio podczas 3 dni wykonywanych jest zamówień na 5 mln złotych oraz doliczymy ich straty wizerunkowe, kwota robi się astronomiczna. Jeżeli zatem Google nie wykaże chęci współpracy narazi się na gigantyczny pozew zbiorowy, który może nawet jak na taką firmę, być dosyć dotkliwy. Wizerunek 1500 sklepów to już nie przelewki.

Czy od momentu wysłania informacji do Polskiego oddziału Google ktoś się z wami w tej sprawie kontaktował. Czy tego typu sytuacja jest w ogóle w jakiś sposób komunikowana przez Google?

Nikt z nami się nie kontaktował, ani przed blokadą ani po jej zdjęciu. Zacząłem najpierw od kontaktu nieformalnego z osobami znanymi mi w Google. Z powodu weekendu prawdopodobnie nie miały ochoty odebrać. Skontaktowałem się też z naszym opiekunem od AdWordsów. Wysłałem e-maile i SMSy, nikt nie zareagował. Nagraliśmy się na pocztę głosową w ich biurze. Przez cały piątek i sobotę nikt się nie odezwał. Również po przefaksowaniu do nich oficjalnego pisma nikt się nie odezwał. Jestem pewien, że nasze treści do kogoś trafiły, jednak z tego co widzę, polityka tej firmy to metoda “czarnej dziury”.

Mocne słowa, zakładam jednak że nie wynika to ze złej woli lecz z wielkości korporacji z jaką w tym przypadku mamy do czynienia. Poprosiłem Google o komentarz w tej sprawie i mam nadzieję, że odpiszą.

Google jest gigantyczną organizacją i otrzymuje na pewno tysiące takich zgłoszeń dziennie. Jednak, jeżeli podejmuje się cenzurowania Internetu to powinno być do tego przygotowane organizacyjnie. Google wpływa na losy większej ilości ludzi niż małej wielkości państwo. A sytuacja jest identyczna jak w Procesie Kafki, pewnego dnia przychodzą po Ciebie zbiry i Cię aresztują, a ty nie masz możliwości obrony, bo nie wiesz co się nie spodobało władzy. Jestem daleki od idei antyglobalistycznych, ale niestety w tym przypadku zawiodło to, że maszynom oddano za dużą władzę. Pech chciał że trafiło na nas. Chociaż jak sądzę, na wielu trafiało przed nami, bo otrzymałem wiele e-maili od ludzi, którzy mieli podobne przygody. Tylko tym razem dotknęło to tysięcy stron i wiele osób na raz zdało sobie sprawę z czym ma do czynienia.

Czy wiesz może jak działa automat do blokowania stron? Jakie są zasady na podstawie których dana strona uznawana jest za niebezpieczną?

Algorytm wcale nie jest wiele wysublimowany. Można go znaleźć np. pod adresem http://static.googleusercontent.com/external_content/untrusted_dlcp/research.google.com/pl//pubs/archive/35580.pdf Jak widać, praktycznie każda strona może paść jego ofiarą. Z drugiej strony, brak komunikacji to mieszanka wybuchowa, bo samodzielne dojście o co chodzi może być niemożliwe, co jak pisałem może oznaczać konieczność zaczynania od nowa.

Paweł – dzięki za komentarz, mam nadzieję że sprawa z Goole zostanie do końca wyjaśniona tak abyście byli jako firma usatysfakcjonowani.

Komentarz Google Polska

Poprosiłem Google Polska o oficjalny komentarz do tej sprawy i podanie przyczyn blokady IAI Shop.

Mam prośbę o oficjalny komentarz Google do zaistniałej sytuacji z IAI
http://www.iai-shop.com/pr-press-release.phtml?id=1235323918
Czy wiadomo może z jakich powodów sklepy IAI zostały zablokowane, jak wygląda proces reklamacji i czy w przypadkach nieuzasadnionej blokady/pomówienie o phishing Google ma jakiś program rekompensat strat poniesionych z tytułu pomyłki?

W odpowiedzi otrzymałem krótką wiadomość :

Z zasady Google nie komentuje poszczególnych przypadków.

Google stosuje szereg zautomatyzowanych systemów, które stale przeszukują indeks wyszukiwarki po kątem obecności złośliwego oprogramowania. Automatycznie oznaczane są witryny, które mogą zawierać szkodliwe oprogramowanie lub phishing, by zabezpieczyć użytkowników, którzy odwiedzają te witryny. Jednocześnie oferujemy webmasterom Narzędzia dla Webmasterów, które pomagają im zabezpieczyć swoją witrynę.

Więcej informacji na temat zabezpieczenia witryny można znaleźć w szczegółowym wpisie na blogu Google Online Security, z którym polecam zapoznać się w całości.

http://googleonlinesecurity.blogspot.com/2008/10/malware-we-dont-need-no-stinking.html

Na koniec

Szczerze mówiąc jestem trochę to sytuacją przerażony. Rozumiem, że nikt po stronie Google nie ma złych intencji i tego typu przypadki się zdarzają – kiedy jednak włącza się system samoobronny korporacji a my chcemy po prostu dowiedzieć się co się stało to możemy poczuć się jak główny bohater opowiadania Kafki.

Rozumiem, że są zasady, procedury i odpowiednie mechanizmy reklamacji na każdą okazję – ale praktycznie zderzenie się z nimi jest jak pokazuje powyższy przykład bardzo bolesne. Zwróćmy też uwagę, że sytuacja dotyczy giełdowej spółki a nie szarego Kowalskiego który ma mały sklep w internecie.

[Aktualizacja]

Zapraszam do zapoznania się z komentarzem do Google Polska na temat sytuacji w której strony uznawane są za niebezpieczne.