Gazeteci Jack Poulson tarafından ortaya çıkarılan Google arama motorundaki önemli bir güvenlik açığı, belirli web sayfalarının arama sonuçlarından kötü niyetle kaldırılabilmesini sağlayan bir yöntemi ortaya çıkardı. Tesadüfen keşfedilen bu güvenlik açığı, genellikle bir web sayfası değiştirildikten veya kaldırıldıktan sonra Google’ın dizinini güncellemek için kullanılan “Eski İçeriği Yenile” aracını istismar ediyordu. Bu güvenlik açığı, site sahibinin izni olmadan içeriğin tek taraflı olarak indekslenmesini engellediği için bilgi gizleme ve itibar yönetimi adına potansiyel oluşturuyor.
Teknik Açık: Büyük Harf Kullanımı ve Yeniden Tarama
Güvenlik açığının temelinde, Google’ın sisteminin URL varyasyonlarını işleme şekli yatıyor. Poulson, bir sayfanın URL’sindeki farklı harfleri büyük harfe çevirerek “Eski İçeriği Yenile” aracına gönderdiğinde, Google’ın ayrı ve var olmayan bir sayfa olarak yorumlayacağı bir istek oluşturmanın mümkün olduğunu keşfetti. Google tarayıcısı büyük harfle yazılmış URL’yi bulamadığında, yalnızca o belirli varyasyonu değil, orijinal ve geçerli URL dahil olmak üzere tüm web sayfasını yanlış bir şekilde indekslemeden kaldırıyordu. Bu akıllı SEO hilesi, meşru bir aracı kötü amaçlarla kullanarak, etkilenen yayıncılar için etkili bir “dijital Whac-A-Mole” oluşturdu.
Hedefli Sansür Örneği
Bu hatanın istismarı teorik değildi; bilgileri bastırmak için aktif olarak kullanıldı. Poulson, iki makalesinin arama sonuçlarından kaybolmasının ardından bu sorunu keşfetti. Araştırması onu, Poulson’ın, 2021 yılında ağır aile içi şiddet suçlamasıyla tutuklanmasına ilişkin yazdığı 2023 tarihli makaleyi bastırmaya çalışan teknoloji CEO’su Delwin Maurice Blackman’a yönlendirdi. Blackman daha önce davalar ve DMCA kaldırma talepleri yoluyla bu haberi sansürlemeye çalışmıştı. Mevcut olay, bu tür güvenlik açıklarının kritik ve haber değeri olan içeriği gömmek adına kullanılabileceği için gerçek dünyadaki sonuçlarını ortaya koymaktadır.
Daha Geniş Etki ve Google'ın Tepkisi
Sansür kampanyası Poulson’ın kendi çalışmasının ötesine uzandı. Gazetecilik dürüstlüğünü korumaya adanmış kâr amacı gütmeyen bir kuruluş olan Freedom of the Press Foundation’ın da aynı güvenlik açığı kullanılarak bir makalesi listeden kaldırıldı. Vakfın İzleyici Direktör Yardımcısı Ahmed Zidan, Poulson ve Blackman hakkındaki makalelerinin, biraz değiştirilmiş ve garip büyük harflerle yazılmış URL’ler kullanılarak defalarca kaldırma taleplerine maruz kaldığını doğruladı. Bu keşif, saldırıların koordineli bir çaba olduğunu doğruladı. Google, bu meseleye yanıt olarak sorunu kabul etti ve bir düzeltme uygulandığını belirtti. Şirket, bu güvenlik açığının “web sayfalarının çok küçük bir kısmını” etkilediğini ve bir çözüm sunmak için hızlı bir şekilde çalıştığını iddia etti. Ancak bu olaylar, arama sonuçlarının bütünlüğünü korumak için tasarlanmış araçların kötüye kullanılmasını önlemek için daha fazla şeffaflık ve daha sağlam güvenlik önlemlerine ihtiyaç olduğunu açıkça vurgulamaktadır.
