Госcайты США в Google перенаправляют пользователей на страницы порнорекламой
Фото: Aliexpress
В Google зафиксирован необычный инцидент: ссылки на реальные государственные сайты США стали вести пользователей на страницы с порнографической рекламой, секс-чатботами и ИИ-генераторами откровенных изображений. Речь идёт не о поддельных копиях, а о подлинных доменах формата .gov, принадлежащих ведомствам на уровне штатов и муниципалитетов.
По данным исследователей, с ноября затронуто как минимум 38 доменов, связанных с органами власти в 18 штатах США. Среди них — ресурсы Небраски, Индианы, Гавайев, Калифорнии, Вашингтона, Канзаса и других регионов. По состоянию на конец недели часть таких страниц продолжала индексироваться поисковой системой.
Ключевая особенность атаки в том, что злоумышленники не взламывали сайты и не получали доступ к административным панелям. Вместо этого использовались публичные формы загрузки файлов, предназначенные для обращений граждан и прикрепления документов. Загруженные PDF-файлы автоматически становились доступными извне и без ограничений попадали в индекс Google.
В результате поисковик показывал ссылки на официальные госдомены, однако при переходе пользователи попадали на страницы с рекламой ИИ-порнографии, генераторов обнажённых изображений, магазинов интимных товаров и объявлений об увеличении различных частей тела. В отдельных случаях контент был ещё более хаотичным — от клипов рэп-исполнителя YoungBoy до читов для Roblox и ссылок на вредоносные загрузки.
Одним из первых масштаб проблемы выявил исследователь Доминик Альвиери. Он обнаружил десятки посторонних PDF-документов и медиаматериалов, размещённых на сайтах различных государственных структур. При этом, как подчёркивает Альвиери, формально сайты не были скомпрометированы: файлы загружались штатными средствами, без обхода аутентификации.
Эту версию подтвердил и подрядчик Granicus, обслуживающий около 5 500 государственных сайтов США. Компания заявила, что не выявила взломов или утечек данных, а сторонние акторы загружали контент через формы обратной связи, после чего вложения автоматически становились публичными и индексировались поисковыми роботами.
В некоторых случаях источником проблемы стала автоматизированная активность. Так, на одном из порталов вредоносные материалы распространялись через календарь ведомства по делам ветеранов, а технические службы зафиксировали около 10 IP-адресов с массовой загрузкой файлов, которые впоследствии были заблокированы.
После огласки Granicus сообщила о внедрении дополнительных ограничений, чтобы загружаемые файлы больше не становились публично доступными по умолчанию. Инцидент показал, что SEO-отравление остаётся эффективным даже против государственных доменов, если публикация контента и его индексация не находятся под строгим контролем.
