Wat gaat er mis?
Maar…als alles dat er nodig is een stukje Javascript is, dan kan iedereen dat nabootsen. Echt iedereen. Om jouw Google Analytics valse informatie te laten zien kan ik die valse informatie direct naar Google Analytics sturen. Ik hoef je website niet eens te bezoeken! Ik hoef helemaal geen Javascript te draaien. Ik moet alleen die HTTP verzoeken reproduceren, en die zijn voor iedereen inzichtelijk. Ze zijn zelfs redelijk goed gedocumenteerd, door Google zelf.
Dus…laten we zeggen dat ik een spammer ben. En ik wil dat mensen mijn spamsite zien. Wat moet ik doen? Ik schrijf een klein stukje code om vervolgens duizenden en duizenden van deze valse HTTP verzoeken te sturen naar Google Analytics. En ik gebruik daarbij alle UA-nummers. Op volgorde of niet, het maakt niet uit. Ik stuur een nepbezoek, met een nepreferrer, en mijn spamdomein. En je raadt het al. Jij ziet dit als echte bezoeken in jouw Google Analytics Dashboard.
Jij ziet deze spam als ieder ander bezoek. Want volgens Google Analytics was dit ook een gewoon bezoek. Want Google registreert alle HTTP verzoeken die normaliter door de Google Analytics Javascript code worden gegenereert. Want een verzoek is een verzoek, en een vals verzoek maken is heel erg makkelijk.
Dus dat is wat er gebeurt. Als ik een spammer zou zijn heb ik alleen jouw UA nummer nodig. En door een klein beetje mijn best te doen kan ik een bezoek nabootsen zonder überhaupt op jouw site te komen. Dat valse bezoek kan iedere domeinnaam en referrer hebben die ik wil.
Dit is een probleem binnen Google Analytics, om bepaalde spamsites te promoten. Het heeft geen zin om dit te blokkeren op jouw server, omdat je server er helemaal buiten staat.
Het is te hopen dat Google snel actie gaat ondernemen!
