Pētnieki ir atklājuši trūkumu Google OAuth sistēmā, kas varētu ļaut uzbrucējiem piekļūt potenciāli sensitīviem datiem no bijušo darbinieku kontiem, kad tie vairs nav pieejami.
Google OAuth ir Mountain View giganta pieteikšanās tehnoloģija, kas ļauj piekļūt daudzām platformām un pakalpojumiem, izmantojot savu Google kontu. Kad izmantojat opciju “Pierakstīties, izmantojot Google”, jūs izmantojat OAuth. Uzņēmuma pakalpojumu komplektam ir liela klātbūtne arī biznesa vidē. Darbinieki izmanto OAuth ne tikai, lai piekļūtu Workspace komplektam, bet arī ārējām platformām, izmantojot programmatūras kā pakalpojuma (SaaS) modeli.
Šis Google OAuth trūkums var ļaut uzbrucējiem mantot pieteikšanās akreditācijas datus
Iespējams, jums ir vairāk nekā viens Google konts, un daži jūs pat neatceraties savus akreditācijas datus. Tātad jūsu pazaudētais konts ir atstāts “neparedzētā situācijā”, kurā viena vai otra iemesla dēļ nevarat tam piekļūt. Tomēr jautājums par “zombiju kontu” uzturēšanu ir jutīgāks uzņēmējdarbības vidē. Šie konti bieži ir saistīti ar trešo pušu pakalpojumiem ar potenciāli sensitīviem datiem no bijušajiem darbiniekiem vai uzņēmuma, kurā viņi strādāja.
2024. gada septembra beigās Trufflesecurity komanda atklāja Google OAuth sistēmas trūkumu, ko ļaunprātīgi dalībnieki varēja izmantot. Toreiz Google šo problēmu apzīmēja kā “krāpšanu un ļaunprātīgu izmantošanu”, nevis pieteikšanās ievainojamību. Tomēr Dylan Ayrey, Trufflesecurity izpilddirektors, to atklāja pēdējā Shmoocon hakeru konferencē pagājušā gada decembrī. Tas mudināja Google atkārtoti atvērt biļeti un piedāvāt pētniekiem 1337 $ atlīdzību.
“Google OAuth pieteikšanās neaizsargā pret to, ka kāds iegādājas neveiksmīga startēšanas domēnu un izmanto to, lai atkārtoti izveidotu e-pasta kontus bijušajiem darbiniekiem.,” nesenā ziņojumā par šo problēmu sacīja Eirijs. Ja trešā puse iegādājas neveiksmīga starta domēnu un manto Google OAuth pieteikumvārdu, tā nevarēs piekļūt uzņēmuma iepriekšējai iekšējai saziņai. Tomēr viņi var pieteikties ārējos pakalpojumos, kas saistīti ar šo Google OAuth domēnu. Piemēram, viņi varētu piekļūt ChatGPT, Notion, Zoom, Slack vai dažām HR platformām, atsākot nedarbojošā starta bijušo darbinieku sesijas.
Uzbrucējiem ir jāiegādājas tikai novecojis domēns no neveiksmīgas startēšanas
Pētnieks parādīja, kā viņam izdevās piekļūt konfidenciāliem datiem par neveiksmīgu startēšanu no HR sistēmām. Viņam vienkārši bija jāiegādājas novecojis domēns un jāizmanto mantotie OAuth akreditācijas dati. Potenciālie uzbrucēji varētu sākt mērķēt uz domēniem, kas saistīti ar neveiksmīgu startēšanu, lai tos iegādātos un izmantotu ievainojamību. Crunchbase jaunuzņēmumu datu bāzē, kas vairs nepastāv, ir norādīts aptuveni 116 481 pieejams domēns. Tas nozīmē, ka potenciāli varētu būt miljoniem bijušo darbinieku kontu, kas ir gatavi “izmantošanai”.
Lai novērstu problēmas, kas saistītas ar OAuth sistēmu, jums nevajadzētu izmantot uzņēmuma akreditācijas datus personīgajos kontos. Šādi rīkojoties, uzbrucēji nākotnē varētu tos nozagt. Ja maināt darbu, no sava uzņēmuma konta ir jānoņem arī visi sensitīvie dati.
