Guida Avanzata

Guida Avanzata: Google Darth Manager – Il lato oscuro di GTM

[DISCLAIMER] Voglio essere moooolto chiaro fin da subito: non sarò responsabile dell’utilizzo che farai delle informazioni che leggerai. 

Tutti abbiamo dei lati oscuri, degli scheletri nell’armadio.

Anche io. Anche tu. Bè oddio… i tuoi non li voglio sapere :O (se vuoi scrivermi un commento qua sotto per raccontarmelo li leggerò volentieri :P)

Come tutti, anche Google Tag Manager ha il suo lato oscuro

In fondo non può esistere la luce senza oscurità, no?

Con Google Tag Manager puoi certamente fare delle cose bellissimissime, ma anche delle cose moooolto malvagie 🙁 io ovviamente sono buono, quindi non le faccio 😛 Però per dare la caccia ai vampiri, bisogna capire come le loro abitudini. Quindi sarai d’accordo con me che sarebbe utile conoscere tutte queste cose brutte e cattive, non trovi?

Se ti dicessi che potresti hackerare le pagine? Oppure inserire degli script malevoli (malware, script di mining di bitcoin e altre robaccia simile) o denuclearizzare sulla SERP il sito? Oppure fare un deface completo delle pagine?

Whaaaaat??!

Eh sì 👿 Intuisci la forza oscura di questo strumento?

Non lo dire a nessuno, sto per svelarti delle cose che NON dovresti sapere. Non spargere la voce mi raccomando!

[DISCLAIMER 2] Te l’ho già detto che non sarò responsabile di quello che leggerai, vero?

Partiamo da un concetto: Google Tag Manager è installato per inserire dei Tag, o più semplicemente inserire del codice non presente in pagina.

Quindi tipicamente mettere mano su Google Tag Manager significa mettere mano al proprio sito. Giusto?

Eh, dipende.

Se tu riuscissi a ottenere l’accesso a un contenitore di Google Tag Manager di un sito non tuo?

Facciamo finta che tu (per un qualsiasi motivo) abbia l’accesso di pubblicazione ad un contenitore di un tuo concorrente o di qualcuno con cui ce l’hai a morte.

Non vorresti metterci le mani e fare pazzie? (uhhhh sì che lo vuoi)

Chiudi gli occhi. Immagina solo per gioco di poter fare quello che vuoi, le peggio cose. Ovviamente NON ti sto dicendo di farle (ehm potrebbe pure essere illegale, quindi no, non farlo). Ti sto solo dicendo di pensare a cosa si potrebbe fare.

Google Darth Manager (il potere del lato oscuro)

Ti svelo subito una cosa da NERD. I Sith mi hanno sempre affascinato. Confrontati coi Jedi, i Sith sono mooooolto più sboroni e senza timori. Non hanno paura di sporcarsi le mani.

Bene, oggi brandirò la spada laser rossa e indosserò la tunica di Darth Manager. Sì, farò il cattivo. E un po’ mi piacerà, lo ammetto.

Sei pronto a lasciarti tentare dal lato oscuro?

La prima cosa che potresti fare è appropriarti della Search Console così da analizzare meglio l’aspetto SEO e soprattutto utilizzare il sistema di Disavow per eliminare i link più profittevoli 👿

Da qui il passo per fare altri danni a livello SEO come modificare title o description, o eliminare rel canonical o gli hreflang è un attimo. Potresti anche agire direttamente sul meta robot delle singole pagine mettendolo in noindex e nofollow.

Vuoi fare di peggio?

Potresti creare dei redirect 301 e indirizzarli nei siti più orridi che ti vengono in mente.

Potresti letteralmente fare un defacement modificando il DOM della pagina. Quindi potresti cancellare delle parti HTML per metterci qualche bellissima immagine di scimpanzé che mangiano banane.

Non sei ancora contento?

Bene, se vuoi proprio essere il Darth Sidious della questione potresti iniettare dei script malevoli nel sito e iniziare a minare BitCoin alla faccia di chi arriverà nel sito e inconsapevolmente regalerà la sua CPU alla vostra causa.

Ok. Facciamo ora finta che non vuoi essere così crudele ma vuoi essere comunque subdolo.

Potresti cambiare completamente gli ID di tracciamento dei vari sistemi come Google Analytics, il Pixel di Facebook e via discorrendo. In altre parole inzozzi (termine altamente tecnico) i dati di chi sta facendo le cose troppo bene 😀

Ragioniamo come un vero Sith

In effetti se ci pensi bene non ci sono limiti a quello che effettivamente puoi fare se hai il controllo di Google Tag Manager. È un po’ come se il lato oscuro della forza non avesse più alcun segreto.

Potenzialmente potresti riscrivere completamente il sito e modificarlo a tuo piacimento, a seconda del sorgente. Ad esempio potresti decidere che TUTTO il traffico che deriva da AdWords portarlo ad un competitor diretto, magari dopo qualche secondo mostrando un messaggio di attesa del tipo “qualche secondo di attesa e ti mostreremo la nostra migliore offerta”, o addirittura includere con un iframe il sito del competitor dentro al dominio.

Hai altre idee malvagie? Proponimele qui sotto 🙂

Richiedi il webinar intensivo di Tag Money

Se vuoi rivedere il webinar intensivo di Tag Money puoi farlo semplicemente iscrivendoti qui: www.tagmoney.it

Matteo Zambon

View Comments

  • Ciao Matteo,
    a proposito del lato oscuro di TGM, ho notato una cosa strana quando installo TGM sul sito. In pratica mi compare un Pixel Facebook sconosciuto (verifica fatta con Facebook Pixel Helper). Ovviamente il codice di questo pixel non è presente nel file sorgente e scompare quando disinstallo Tag Manager .

    Per essere sicuro che il problema fosse proprio in TGM e non nel mio sito o anche nel mio Pixel FB, ho disinstallato TGM e installato il Pix di FB direttamente nel file Head del codice html. Nessun problema, il pixel "fantasma" non compare e ho soltanto il mio Pixel.

    Dunque reinstallo TGM e taaac...eccolo di nuovo, Leggendo il tuo articolo mi viene il dubbio che qualcuno, pur essendo io l'unico a gestire il sito, sia in qualche modo riuscito a fare qualcosa di simile a ciò che tu descrivi in questo post. C'è un modo per difendersi oltre a disinstallare TGM? Grazie.

    • Ciao Cesko, sei sicuro che dentro a GTM tu non abbia altri tag che installano quel pixel? Cosa usi per installare GTM? Un plugin? Magari è proprio quel plugin che installa tutto.
      Fai una verifica :)

  • Oppure quando ti copiano pari pari il tag e lo incollano in un loro sito, si possono fare cose belle per proteggere lo script :-)

  • Scusa Matteo ma non capisco il punto del tuo articolo... È ovvio che con GTM è possibile modificare la DOM della pagina, ma non vedo "il lato oscuro" visto che per farlo servono le credenziali del container.

    • Ciao Michele, se noti le mie supposizioni è se hai l'accesso ad un contenitore con il quale vorresti fare danni (per dimenticanza, o perché magicamente hai l'accesso ad un account di google che li contiene).

      Il succo dell'articolo è far capire che potenzialmente puoi fare anche molti danni con GTM :)

Recent Posts

Attribuzioni errate in GA4: cause e soluzioni al problema

Negli ultimi mesi hai notato in Google Analytics 4 un calo improvviso e inspiegabile nelle…

3 mesi ago

Come creare una Dashboard Ecommerce per analizzare i dati degli acquisti Nuovi e di Ritorno

Se ti trovi su questa guida è perché hai compreso che solo attraverso la Data…

4 mesi ago

Consent Mode v2 e calo dei dati delle audience e del traffico in Google Ads: cause e soluzioni

Da quando hai configurato la Consent Mode v2 (CM v2) hai notato cali improvvisi o…

6 mesi ago

Data Leak Google: Chrome e le implicazioni per la Privacy e la Digital Analytics

Premesso che non è possibile conoscere l'esatto funzionamento né di Chrome, né degli algoritmi di…

6 mesi ago

Come creare Report in GA4 per analizzare campagne advertising e marketing con UTM

Da quale canale di marketing arriva il maggior numero di conversioni? Quale campagna di marketing…

6 mesi ago