Как стать автором
Обновить

Эй, Google, ты что?

Время на прочтение 8 мин
Количество просмотров 8K
Автор оригинала: Stefan Magdalinski
В субботу в блоге кенийского стартапа Mocality появилась следующая заметка, наделавшая много шуму:

Я горжусь делом, которое мы организовали в Mocality, но особенно — двумя вещами:
  • Нашей краудсорсинговой программой. Когда мы начинали работу, мы понимали, что (в отличие от США или Великобритании, где каталог для выкладывания в сеть можно просто купить), если мы хотим получить достойную базу данных кенийских предприятий, нам придётся наполнять её с нуля. Также было очевидно, что для быстрого роста предприятия нам потребуется помощь многих кенийцев. Поэтому мы создали систему сбора информации, задействующую M-PESA (местную популярную платёжную систему) для вознаграждения каждого кенийца с мобильником, кто сообщает данные для нашей базы, и они подтверждаются проверкой. За два года мы выплатили 11 млн кенийских шиллингов (более 100 000 долларов) тысячам человек, и построили самый полный каталог в Кении, включающий более 170 тысяч проверенных записей. От себя, я считаю эту работу самым важным достижением моей 18-летней интернет-карьеры.
  • С первого дня мы нацелились на каждую кенийскую организацию, безотносительно размера. В итоге, примерно для двух третей предприятий в списке Mocality это их первый шаг в Сеть. Мы вывели в онлайн порядка ста тысяч организаций.

Пока вы читаете, держите в голове следующее:

Наша база данных — суть нашего дела, и мы чутко относимся и защищаем её. Помимо прочего, мы отслеживаем и блокируем автоматизированные атаки. Мы постоянно связываемся с клиентами, чтобы их данные не устаревали, и просим звонить в наш колл-центр по любым вопросам, когда угодно.

В сентябре Google запустил программу Getting Kenyan Businesses Online («Вывод кенийских организаций в Сеть», GKBO). Хотя мы видели, что в некоторых аспектах она конкурирует с нами, мы приветствовали это начинание, поскольку в Кении достаточно потенциала для всех, и каждый новый участник помогает росту рынка. И, конечно, мы достаточно уверены в продукте, в нашей местной команде и в нашей увлечённости, чтобы соревноваться с любым противником при условии честной игры.

Спустя короткое время после запуска той программы, начались странности. Пара организаций явно оказались в заблуждении, прося нас помочь с их сайтами, хотя мы не предоставляем услуг по созданию сайтов — только ведению списка. Поначалу мы не придали этому значения, но озадачивающие звонки продолжали поступать весь ноябрь.

Улики и расследование


В начале декабря мы просмотрели наши серверные логи в поисках общих черт организаций, звонивших нам со странными вопросами. Мы нашли уникальную комбинацию IP/User-Agent, с которой просматривали все эти организации:

IP Address: 41.203.221.138
User-Agent: Mozilla/5.0 (X11; Linux i686) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.186 Safari/535.1


Конфигурация, необычная для Кении: стабильная версия Google Chrome, выпущенная 20 сентября, на компьютере под управлением 32-битного Linux. Не считая этого IP, такая комбинация редко встречалась в логах.

Мы посмотрели владельца адреса 41.203.221.138 через WHOIS:

% Information related to '41.203.220.0 - 41.203.221.255'

inetnum:        41.203.220.0 - 41.203.221.255
netname:        Fixed_Wimax-Fiber-Rollout-Central-Kenya
descr:          Fixed Wimax and Fiber  Roll out for Central Kenya Region
country:        KE
admin-c:        OC406-AFRINIC
tech-c:         OC406-AFRINIC
status:         ASSIGNED PA
mnt-by:         ONECOM-MNT
remarks:        Wimax and Fiber  Roll out for Central Kenya Region
source:         AFRINIC # Filtered
parent:         41.203.208.0 - 41.203.223.255


Кенийский провайдер. И что они от нас хотели? Мы продолжили анализ.

График количества просмотров страниц организаций от этого IP

Из 65 851 запросов 33 261 были к страницам с профилями организаций, то есть, они смотрели контактные данные организаций.

Дальнейшие подробности:

  • Нет признаков автоматической загрузки — это явно была команда живых людей.
  • После 3 ноября запросы шли через соединение WIMAX в Найроби. До этого адреса разнятся.
  • Запросы к профилям организаций шли из результатов поиска по ним, где выдаётся по 100 записей на страницу.
  • В самое нагруженное время просматривалось порядка 2500 страниц в день.
  • Эта конфигурация системы и браузера появилась, с разными IP, 4 сентября, 12 октября началась массовая загрузка страниц и внезапно прекратилась 29 октября, затем продолжилась 3 ноября с адреса, принадлежащего Safaricom Wimax.
  • Запросы делались 8 утра до 6 вечера по рабочим дням, несколько часов по субботам и никогда — по воскресеньям.
  • Ни один другой пользователь не проявлял подобного паттерна активности в таких масштабах (2500 запросов в день).

Итак, человек или (судя по количеству запросов) группа людей делали систематические выборки из нашей базы данных в рабочие часы, и, похоже, в начале ноября они переехали в новый офис. Но кто это был, и чего они хотели?

Ловушка


Мы решили узнать, и сделали пару изменений в коде сайте:
  • Для посетителей с адреса 41.203.221.138 в 10% случаев выдавалась слегка изменённая страница.
  • Вместо настоящего телефонного номера организации на ней был указан номер нашего колл-центра, где все звонки записывались. Мы проинструктировали сотрудников вести себя, как владельцев организаций.

21 декабря мы включили этот код.

Слушая записи звонков, мы были крайне шокированы.

Результаты


Познакомьтесь с Дугласом. На этой записи (в первых двух минутах) отчётливо слышно, что Дуглас представляется сотрудником Google Kenya, утверждает и позже подтверждает, что GKBO сотрудничает с Mocality, и что мы помогаем им с этим проектом, затем пытается предложить владельцу организации веб-сайт (и продать доменное имя). За 11 минут разговора он постоянно утверждает, что Mocality работает с или на (!) Google.

Между 10 и 13 часами 21 декабря мы получили ещё шесть звонков, подобных этому (от 5 разных сотрудников Google Kenya), затем вернули нормальный код. По нашим оценкам, эти сотрудники звонили 20-25 организациям из списка Mocality в час (7 звонков за 3 часа, перенаправлялось 10%: 7*10/3=23.3 звонка в час).

Все разговоры происходили по одному и тому же сценарию: сотрудник Google Kenya звонит организации и пытается переманить их в конкурирующий проект, утверждая, что мы работаем вместе с ними.

Дальше — хуже: Посмотрите полную расшифровку (с переводом фраз на суахили) другого звонка, где звонящий идёт ещё дальше, обвиняя Mocality в практике «наживки», что мы пытаемся стрясти с организаций до 20 000 Ksh ($200) за право быть в списках. Mocality никогда не требовала, и не будет, оплаты за добавление в список. Иронично: в этом же звонке этим занимается звонящий, намекая на оплату хостинга в GKBO.

Я убрал излишние подробности (кроме имён) для обоих сторон, и выделил ключевые места жёлтым.

Что произошло потом?


Собрав доказательства и ожидая расшифровки и перевода (т.к. некоторые фразы были на местном африканском диалекте) записей, чувствуя удовлетворение от детективной работы, мы ушли на рождественские выходные. Я начал писать эту заметку.

Имея на руках самые свежие данные, 9 января мы заново проанализировали логи.

Запросов с IP-адреса 41.203.221.138 не поступало с 16 часов 23 декабря. Совпадение? Или кто-то догадался, что мы заметили?

Однако, поступали НОВЫЕ звонки от владельцев организаций: похоже, с ними связывался какой-то колл-центр в Индии, с теми же обещаниями веб-сайта.

Мы перезапустили анализ, и быстро нашли новое сочетание IP/User-Agent.

Результаты (2)


Мы нашли другой IP-адрес и User-Agent, просматривавший данные тех двух организаций:

IP Address: 74.125.63.33
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.7 (KHTML, like Gecko) Chrome/16.0.912.63 Safari/535.7


Данные WHOIS:

NetRange:       74.125.0.0 - 74.125.255.255
CIDR:           74.125.0.0/16
OriginAS:
NetName:        GOOGLE
NetHandle:      NET-74-125-0-0-1
Parent:         NET-74-0-0-0-0
NetType:        Direct Allocation
RegDate:        2007-03-13
Updated:        2007-05-22
Ref:            http://whois.arin.net/rest/net/NET-74-125-0-0-1

OrgName:        Google Inc.
OrgId:          GOGL
Address:        1600 Amphitheatre Parkway
City:           Mountain View
StateProv:      CA
PostalCode:     94043
Country:        US
RegDate:        2000-03-30
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/GOGL

OrgAbuseHandle: ZG39-ARIN
OrgAbuseName:   Google Inc
OrgAbusePhone:  +1-650-253-0000
OrgAbuseEmail:  arin-contact@google.com
OrgAbuseRef:    http://whois.arin.net/rest/poc/ZG39-ARIN

OrgTechHandle: ZG39-ARIN
OrgTechName:   Google Inc
OrgTechPhone:  +1-650-253-0000
OrgTechEmail:  arin-contact@google.com
OrgTechRef:    http://whois.arin.net/rest/poc/ZG39-ARIN


Новые посетители шли прямо из сети Google.

С адреса 74.125.63.33 поступило 17 645 запросов (15 554 — на страницы профилей). Частота значительно увеличилась 22 декабря, когда встречалось 8 разных User-Agent, большей частью — Chrome под Linux. Тройка популярных:
  • Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.7 (KHTML, like Gecko) Chrome/16.0.912.63 Safari/535.7 11249 64.268982
  • Mozilla/5.0 (Ubuntu; X11; Linux x86_64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1 4247 24.264412
  • Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.2 (KHTML, like Gecko) Ubuntu/10.04 Chromium/15.0.874.106 Chrome/15.0.874.106 Safari/535.2 1000 5.713306

Ищем «tag=mo.request 74.125.63.33» с 20 декабря 2011 по 9 января 2012. Найдено 17 049 запросов:

График запросов, на котором видно, как в 20-х числах источник переехал в Индию

10 января мы снова включили ловушку. И в течение нескольких часов на наши подставные номера позвонили из нового колл-центра.

Познакомьтесь с Дипти, из Google India. На этой записи она говорит о её связях с Mocality и предлагает нам бесплатный веб-сайт.

Похоже, Google аутсорсил Getting Kenyan Businesses Online в Индию!

Заключение


С октября проект Google GKBO систематически шерстил базу данных Mocality и пытался продать свой конкурирующий продукт нашим клиентам. Они сообщали неправду про наши с ними отношения, про наши бизнес-практики, в целях переманивания клиентов. На 11 января они позвонили примерно 30% организаций из нашей базы.

Более того, они перевели эту работу из Кении в Индию.

Когда мы только начали расследование, я думал найти увлёкшегося сотрудника колл-центра и указать Google, что они нарушают наши условия использования (в частности, пункты 9.12 и 9.17), кто-то получил бы по ушам, и всё бы уладилось.

Я не ожидал обнаружить командную, систематическую, мошенническую (с заявлениями о сотрудничестве с нами, и даже хуже того) попытку разрушить нашу компанию, организованную из колл-центров с двух континентов.

Google — ключевая часть нашей стратегии. Mocality будет успешнее, если наших клиентов можно будет найти через Google. Мы даже отслеживаем, насколько хорошо наши организации представлены в Google, и всегда считали это симбиотическими отношениями. Мы заняты созданием местного, кенийского контента, и Google с его помощью сможет продавать рекламу по ключевым словам. Более половины нашего непрямого трафика приходит от Google. Для нас цена перехода НЕ нулевая.

Более того, мы потратили весьма значительную сумму для рекламы в Google Kenya. Не удивлюсь, если мы окажемся в числе крупнейших их местных клиентов, вместе с партнёрским сайтом Dealfish.co.ke.

В Кении довольно хорошо образованное, но бедное население, и высокий уровень безработицы. Mocality организовали краудсорсинговую программу, чтобы дать людям шанс помочь себе, помогая нам. Через систематическое прочёсывание нашей базы данных, и затем аутсорсинг этого прочёсывания на другой континент, Google вредит не только нам — он вредит каждому кенийцу, участвовавшему в нашей программе.

Я переехал в Африку из Великобритании 30 месяцев назад, чтобы работать CEO Mocality. Когда я переезжал, репутация Кении как коррумпированной страны меня немного пугала. Но я был положительно удивлён: до сих пор я не имел дел с организациями, которые как-то пытались бы нас обмануть. Для глобальных компаний важно адаптироваться к местным условиям, но этика инвариантна. Как поклонника твёрдых этических принципов Google, обнаружить, что они не применяются в Кении… печально.

Кое-кому кое-где придётся ответить на кое-какие вопросы.

Вот моя тройка самых важных:

  • Если гуглу нужны наши данные, почему они не попросили? В разговорах с разными сотрудниками Google Kenya/Africa я поднимал тему более тесного сотрудничества в Кении. Вывод кенийских организаций в сеть — это именно то, чем мы занимаемся.
  • Кто это позволил? Пока мы не открыли перспективу «Индия по указке Mountain View», я бы поверил, что это инициатива местной команды, которая почему-то забыла про корпоративный лозунг, но не сейчас.
  • Кто знал, и кто ДОЛЖЕН был об этом знать?

Stefan Magdalinski

Nairobi, Kenya

Обновление: Google извинился


Google принесли извинения Mocality, как через сеть, так и напрямую: я лично принял несколько звонков от Joe Mucheru, руководителя их центральноафриканского подразделения.

Я оценил скорость и честность, с которыми Google и Джо отреагировали на инцидент, но осталось несколько мелочей, на которые я хочу обратить внимание:

  • Мои три вопроса выше важны для понимания произошедшего, и я с нетерпением жду результатов внутреннего расследования Google.
  • Самое важное — не использование нашей базы данных, а поведение представителей Google во время переговоров.
  • Главным критерием будут действия, которые предпримет Google для разрешения ситуации, открытость, с которой они объяснят, что пошло не так, и шаги, которые они предпримут, чтобы подобное никогда не повторилось в другой стране, с другим стартапом.
  • Похоже, звонки делались третьей стороной. Я могу понять смысл для звонков из Кении, но индийские звонки шли изнутри сети Google. Я знаю (от друзей из Google), как серьёзно защищена эта сеть. Как третьей стороне удалось получить к ней доступ?
  • И коли нас спрашивают — нет, мы ещё не обратились в суд (пока).


Вчера в одном из неофициальных блогов проекта OpenStreetMap поместили аналогичную заметку, но уже с обвинениями Google в вандализме, намеренной порче геоданных по всему миру. Перевод на штосме. Сотрудники компании сообщили, что идёт расследование.
Теги:
Хабы:
+145
Комментарии 63
Комментарии Комментарии 63

Публикации

Истории

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн