Журналист Джек Поулсон случайно заметил, что два его материала исчезли из поисковой выдачи Google. Даже при точном запросе по названию статьи в кавычках система больше не находила публикацию. Это стало началом расследования , которое вскоре привело к обнаружению критической уязвимости — через легальный инструмент Google можно было намеренно удалить из индекса любые страницы, в том числе полностью рабочие.
Суть проблемы крылась в механизме работы сервиса Refresh Outdated Content, предназначенного для обновления проиндексированных страниц. Любой пользователь может отправить URL на переиндексацию, если страница изменилась или устарела. Однако оказалось, что при использовании модифицированного адреса — например, с заглавной буквой вместо строчной в середине пути — Google принимал этот URL как отдельный, пытался его загрузить, получал ошибку 404 и удалял не только несуществующую ссылку, но и оригинальный, корректный адрес из своей базы.
Под атаку попали статьи Поулсона, в которых он рассказывал об аресте в 2021 году технического директора Делвина Мориса Блэкмана по обвинению в домашнем насилии. После публикации этих материалов в 2023 году Блэкман пытался добиться их удаления через судебные иски и жалобы по DMCA, но безуспешно. Позднее именно эти два текста и исчезли из поиска, что вызвало подозрение в целенаправленной манипуляции.
Разобраться помог Ахмед Зидан, заместитель директора по работе с аудиторией в организации Freedom of the Press Foundation, занимающейся защитой прав журналистов. Он изучил логи в Google Search Console — панели аналитики для администраторов сайтов — и обнаружил серию почти идентичных запросов на переиндексацию статьи о конфликте между Поулсоном и Блэкманом. Все обращения отличались лишь одной деталью: в каждом URL изменялась заглавная буква в слове anatomy — сначала "A", затем "N", потом снова "A" и так далее. Так как таких страниц не существовало, бот Google получал 404 и по ошибке удалял и оригинальный рабочий материал.
В результате были исключены из выдачи не только статьи самого Поулсона, но и публикация Freedom of the Press Foundation, описывавшая его противостояние с Блэкманом. Google признал наличие бага и заявил, что он затрагивал лишь «незначительное количество страниц» и уже устранён. Однако ни объём пострадавшего контента, ни технические подробности компания раскрывать не стала. Зидан выразил сожаление по поводу отсутствия прозрачности: «Мы очень хотим, чтобы Google и другие платформы были открыты перед организациями, занимающимися защитой прав прессы».
Установить личность злоумышленника не представляется возможным: инструмент Refresh Outdated Content не требует авторизации в Search Console и не сохраняет данные об отправителе. Тем не менее факт остаётся — исчезли исключительно материалы, связанные с Блэкманом, а другие публикации Поулсона остались нетронутыми.
Наличие столь элементарного, но эффективного обходного пути представляет серьёзную угрозу. Это по сути готовый инструмент для индустрии управления репутацией : достаточно пары щелчков — и нежелательная статья больше не появляется в поиске. Можно легко представить, как политики, бизнесмены или государственные структуры применяют такой механизм для сокрытия компромата или критики.
«Это тихая форма цензуры », — говорит Поулсон. — «Особенно страшна она тем, что автор может даже не узнать, что его текст исчез из интернета. Когда материал пропадает из Google, он в каком-то смысле перестаёт существовать. И самое поразительное — что такую уязвимость могла допустить компания с такими технологическими возможностями, как Google. Это настолько просто, что с этим справился бы и ребёнок».