Уязвимость функции Google OAuth «Войти через Google» может позволить злоумышленникам при регистрации доменов несуществующих стартапов получить доступ к конфиденциальным данным бывших учётных записей сотрудников, связанных с различными платформами программного обеспечения как услуги (SaaS).
Её обнаружили исследователи Trufflesecurity. Они сообщили Google о бреши в безопасности 30 сентября 2024 года. Изначально компания проигнорировала проблему, связав её с «мошенничеством и злоупотреблениями», а не с Oauth. Однако после того, как генеральный директор Trufflesecurity Дилан Эйри представил проблему на Shmoocon в декабре прошлого года, технологический гигант назначил исследователям вознаграждение в размере $1337 и снова открыл тикет. Пока же уязвимость остаётся неисправленной и потенциально может эксплуатироваться.
Представитель Google сказал, что компания рекомендует клиентам следовать передовым практикам и «правильно закрывать домены». «Мы ценим помощь Дилана Эйри в выявлении рисков, возникающих из-за того, что клиенты забывают удалить сторонние SaaS-сервисы в рамках отказа от своей деятельности», — отметил он.
Также в Google призвали сторонние приложения следовать передовым практикам, используя уникальные идентификаторы учётных записей (sub), чтобы снизить риски.
Как сообщается в отчёте, «вход OAuth от Google не защищает от покупки домена неудачного стартапа и использования его для повторного создания учётных записей электронной почты для бывших сотрудников». Создание таких клонов не даёт новым владельцам доступа к предыдущим сообщениям, но эти аккаунты могут использоваться для повторного входа в такие сервисы, как Slack, Notion, Zoom, ChatGPT и на различные платформы по работе с персоналом.
Исследователь продемонстрировал, что, купив неработающий домен и получив доступ к платформам SaaS, можно извлечь конфиденциальные данные, такие как налоговые документы, страховую информацию и номера социального страхования, и войти в различные сервисы.
Эйри обнаружил, что таким образом доступен 116 481 домен.
Уязвимость в системе OAuth Google позволяет некоторым сервисам игнорировать уникальные идентификаторы учётных записей. Примерно в 0,04% случаев они полностью полагаются на электронную почту и размещённый домен, за которыми могут скрываться новые владельцы, выдающие себя за бывших сотрудников.
Исследователи предложили Google внедрить неизменяемые идентификаторы пользователей и уникальные идентификаторы рабочего пространства, привязанные к исходной организации.
Поставщики SaaS также могут внедрять дополнительные меры, такие как перекрёстные ссылки на даты регистрации домена, принудительное одобрение на уровне администратора для доступа к учётной записи или использование вторичной аутентификации для проверки личности.
Однако эти меры влекут за собой расходы, технические сложности и сложности при входе в систему. Более того, они защитят бывших клиентов, которые уже не платят за услуги, поэтому стимул для их внедрения невелик.
Проблема затрагивает миллионы людей и тысячи компаний, и со временем она только растёт. Так, в настоящее время 6 млн американцев работают в технологических стартапах, из которых 90% по статистике должны прекратить своё существование в последующие годы. Примерно 50% этих компаний используют Google Workspaces.
Тем, кто покидает стартап при его закрытии, рекомендуется удалять конфиденциальные данные из учётных записей и не использовать рабочие учётки для регистрации личных аккаунтов.
ссылка на оригинал статьи https://habr.com/ru/articles/873758/
Добавить комментарий