Rządowe strony USA zalane porno-spamem. Hakerzy wykorzystują luki w formularzach PDF

Amerykańska infrastruktura cyfrowa sypie się w oczach. Dziesiątki oficjalnych stron rządowych (.gov) i uniwersyteckich stały się niezamierzonymi hostami dla reklam pornografii, aplikacji typu „nudify AI” i scamów kryptowalutowych.

Serwis 404 Media ujawnił skalę ataku typu „SEO spam”, który uderzył w lokalne i stanowe serwisy w całych Stanach Zjednoczonych. Mechanizm jest banalnie prosty, co najlepiej świadczy o słabości zabezpieczeń: atakujący wykorzystują formularze na stronach (np. służące do składania wniosków czy rejestracji biznesu), które pozwalają na wgranie własnego pliku PDF.

Oficjalny protokół z… ofertą „DeepNude”

Zamiast dokumentów urzędowych, hakerzy wgrywają pliki najeżone słowami kluczowymi (tzw. keyword stuffing) i linkami do stron porno lub złośliwego oprogramowania. Ponieważ pliki te lądują na domenach o wysokim autorytecie w oczach Google (rządowe .gov i edukacyjne .edu), wyszukiwarki błyskawicznie je indeksują i wyświetlają wysoko w wynikach wyszukiwania.

Przykłady są kuriozalne. Na stronie miasta Irvington w New Jersey, obok protokołów z posiedzeń rady, znaleziono PDF zatytułowany „XnXX Video teachers…”, wypełniony bełkotem SEO. Z kolei na witrynie federalnej agencji Reginfo.gov wisiał 12-stronicowy dokument reklamujący aplikację „Nudify AI” do rozbierania ludzi ze zdjęć.

Nie tylko PDF-y. Przekierowania na „egzotyczne” sklepy

Jeszcze groźniejszym zjawiskiem są ataki przekierowujące. Badacz Brian Penny odkrył, że linki na stronach takich instytucji jak Muzeum Stanowe Nowego Jorku czy wydział inspekcji w Knoxville prowadzą wprost do sklepów z… bardzo specyficznymi akcesoriami erotycznymi (np. realistycznymi imitacjami narządów zwierzęcych) lub stron sprzedających suplementy na potencję. W niektórych przypadkach kliknięcie w link na stronie urzędu powodowało automatyczne pobranie pliku .exe, prawdopodobnie zawierającego złośliwy kod.

Kto zawinił?

Wiele z zaatakowanych witryn korzysta z usług zewnętrznych dostawców infrastruktury, takich jak firma Granicus. Departament Transportu Nevady przyznał, że incydent był wynikiem „złośliwego wykorzystania legalnego formularza” obsługiwanego przez zewnętrzną platformę. To klasyczny przykład długu technologicznego – systemy zaprojektowane lata temu nie są gotowe na dzisiejsze metody spamerów.

Choć sprawa dotyczy USA, jest ważną lekcją dla polskich administratorów: każda dziura w formularzu kontaktowym to zaproszenie dla botów, które chętnie zamienią biuletyn informacji publicznej w katalog stron dla dorosłych, albo bibliotekę złośliwych kodów.

Tylko 2% polskich małych firm jest gotowych na atak hakerów. Alarmujący raport Cisco

#404Media #atakiNaStronyWww #cyberbezpieczeństwo #domenyRządowe #Granicus #news #PDFInjection #SEOSpam

Apparently I'm not the only one annoyed by ads AI-generated content, SEO spam, and intrusive tracking on search engines. I just want to say that in 2025, a well-configured instance of SearXNG is a lifesaver. You can start by experimenting with a public instance like https://searx.bndkt.io/ and later run your own for ultimate customisability and privacy (docs at: https://docs.searxng.org/).

#OpenSource #MetaSearchEngines #SearXNG #AdFree #TechPrivacy #AIOverload #SEOspam #SelfHosting

> seven actionable tips to help you find helpful content in a sea of made-for-Google bullshit.

https://housefresh.com/finding-helpful-content-in-an-enshittified-google/

Previously:

https://housefresh.com/david-vs-digital-goliaths/

https://housefresh.com/how-google-decimated-housefresh/

#enshittification #seospam #aislop

#inderedactiemail van @AGConnect

"2. Will the article be marked as advertising on your website? It is very important to us that the article is not labeled as advertising."

#SEOspam

#DeleteFromOrbit

#Idea in teoria molto semplice che potrebbe ridurre il problema della spazzatura sul #web, dei motori di ricerca che restituiscono risultati di qualità sempre più scadente a causa del #SEOSpam che non fa altro che aumentare, e tutte queste cose qui: servirebbe un sistema di valutazione da parte degli utenti per i risultati (che va a complementare i ranking algoritmici). Si potrebbe fare in tanti modi, ma uno con like+dislike sarebbe la cosa migliore, per la sua rapidità nell’uso che però risulta lo stesso in dati utili se usato da molti utenti. Alla fine è così che è nato Reddit, pensandoci, ma quelli erano anni diversi e il #problema che si stava cercando di risolvere era diverso da questo qui, quindi non centra se non in superficie. 👁️‍🗨️️

…Non so però come un grosso motore di #ricerca potrebbe fare a prevenire abusi di questo #sistema che lo renderebbero non solo inutile ma anche controproducente (risultati utili sotterrati da dislike disonesti, o quelli inutili portati su da like bottati). Tuttavia, probabilmente l’idea si può realizzare in casa, sfruttando qualcuno dei vari meta-motori che il mercato del software open-source offre (o creando un’estensione browser per motori mainstream), facendo in modo di garantire l’accesso alle votazioni soltanto ad utenti “fidati” (amici a cui si registra un account, persone che possono fornire un qualche tipo di verifica forte dell’identità, ecc…). Se avete maggiori #idee su questa questione magari possiamo provare a sviluppare qualcosa, francamente sono sempre più stufa di dover scavare per trovare #informazioni anche banali, sempre ‘sti cazzo di #siti #spam in cima. (O esiste già?) 🙄️

https://octospacc.altervista.org/2024/02/24/cosa-se-le-valutazioni-sui-motori-di-ricerca/

#idea #idee #informazioni #problema #ricerca #SEOSpam #sistema #siti #spam #web