Iskanje številk kreditnih kartic z Googlom

Ukradene številke kreditnih kartic se na internetu prodajajo na črnem trgu, in sicer na raznih skrivnih forumih. S tem početjem se ukvarjajo hudodelske družbe, ki so največkrat iz vzhodne Evrope, vse skupaj pa je zaradi nelegalnosti odmaknjeno od oči javnosti. Zato bo toliko bolj presenetljivo, da se je še pred kratkim dalo številne številke kreditnih kartic preprosto poguglati.

Že davnega leta 2007 so raziskovalci odkrili, da lahko v Google vpišete prvih osem številk številke svoje kartice, ta pa vam bo potem postregel z rezultati, med katerimi bo mnogo številk kreditnih kartic. Še bolje je delovalo iskanje po intervalu številk, recimo vnos 4147000000000000..4147999999999999. Google je "luknjo" kmalu popravil in iskanje sedaj vrne napako, če poizkusimo s takšno ključno besedo. Nekaj let je bilo vse tiho, potem pa so lani ugotovili, da se da filter obiti, če iskanje ponovimo v šestnajstiškem številskem sestavu (recimo 0xe6c8c69c9c000..0xe6d753e6ecfff).

Zanimivo je, da je Google potreboval več mesecev, da se je zganil. Gergery Kalman je Google o napaki obvestil lanskega božiča in ponovno avgusta letos, pa se ni premaknilo nič. Šele ko je sporočilo o tej "luknji" romalo na Googlove forume za tehnično podporo, je velikan popravil to obnašanje. To se je zgodilo 26. novembra letos. Zakaj je trajalo polnih 11 mesecev za popravek, čeprav so ga po objavi obvestila na forumih uspeli sproducirati v dveh tednih, ni jasno. Niti ni Google izplačal nagrade prijavitelju v skladu s svojim programom Bug Bounty.

Na tem mestu ne bomo špekulirali, zakaj je Google ignoriral prvi prijavi. Povsem mogoče je, da ustrezni elektronski predal bere en človek in se kakšna prijava lahko izgubi v sistemu ali pa jo je triažiral prenizko. To odkritje namreč ponuja zanimivo primerjavo z avtorsko zaščitenimi vsebinami. Če boste ljudi vprašali, ali imajo kaj proti temu, da Google indeksira njihovo številko kreditne kartice, bo odziv pričakovano negativen. Tega nočejo, pa čeprav Google ni varuh internetnih podatkov, ampak kot iskalnik v bistvu javni imenik. Številke kreditnih kartic so v internet izdali neprevidni prodajalci, ki imajo očitno zanič zavarovane svoje strežnike.

Kaj pa Googlova cenzura avtorsko zaščitenih vsebin? Mnogokrat slišimo pomisleke, zakaj Google blokira povezave do avtorsko zaščitenih vsebin (to pač mora početi zaradi DMCA in v Evropi evropske direktive, če želi obdržati status safe haven) ob prijavi upravičenca, saj da na Googlu ne gostujejo in zato Google ni nič kriv. Problem pa je v resnici soroden. V obeh primerih Google indeksira informacije, ki so prosto dostopne na internetu. V resnici moramo pritisniti na upravljavce zbirk osebnih podatkov in strani, ki gostijo avtorsko zaščiteno vsebino. Google je tu lahko le v pomoč.