Google’ın OAuth “Google ile Oturum Aç” özelliğindeki bir zayıflık, geçersiz yeni başlayanların alanlarını kaydeden saldırganların, hizmet olarak çeşitli yazılım (SAAS) platformlarına bağlı eski çalışan hesaplarının hassas verilerine erişmesini sağlayabilir.
Güvenlik açığı Trufflesaurity araştırmacıları tarafından keşfedildi ve 30 Eylül'de Google'a bildirildi.
Google, bulguyu bir OAuth veya giriş sorunu değil, “sahtekarlık ve istismar” sorunu olarak göz ardı etti. Bununla birlikte, Trufflesecurity CEO'su ve kurucu ortağı Dylan Ayrey, sorunu geçen Aralık ayında Shmoocon'da sunduktan sonra, teknoloji devi araştırmacılara 1337 dolarlık bir ödül verdi ve bileti yeniden açtı.
Bununla birlikte, yayıncılık sırasında, sorun çözülmemiş ve sömürülemez kalır. BleepingComputer için yapılan bir açıklamada, bir Google sözcüsü şirketin müşterilerin en iyi uygulamaları takip etmelerini ve "alanları düzgün bir şekilde kapatmalarını" önerdiğini söyledi.
Bir Google temsilcisi BleepingComputer'a verdiği demeçte, "Dylan Ayrey’in müşterilerin üçüncü taraf SaaS hizmetlerini operasyonlarını geri çevirmenin bir parçası olarak silmeyi unutan riskleri belirleyen yardımını takdir ediyoruz." Dedi.
En iyi uygulama olarak, müşterilerin bu tür bir konuyu imkansız hale getirmek için bu talimatları izleyerek alan adlarını düzgün bir şekilde kapatmanızı öneririz. Ayrıca, bu riski azaltmak için benzersiz hesap tanımlayıcılarını (alt) kullanarak üçüncü taraf uygulamalarını en iyi uygulamaları takip etmeye teşvik ediyoruz "-Google Sözcüsü
Bugün bir raporda Ayrey, sorunu “Google’ın OAuth girişi, başarısız bir girişimin alan adını satın alan ve bunu eski çalışanlar için e-posta hesaplarını yeniden oluşturmak için kullanan birine karşı korunmuyor” olarak tanımlıyor.
Klon e-postaları oluşturmak, yeni sahiplere iletişim platformlarında önceki iletişimlere erişim sağlamaz, ancak hesaplar Slack, Notion, Zoom, ChatGPT ve çeşitli insan kaynakları (İK) platformları gibi hizmetlere yeniden login için kullanılabilir.
Araştırmacı, geçersiz bir alan satın alarak ve SaaS platformlarına erişerek, İK sistemlerinden (vergi belgeleri, sigorta bilgileri ve sosyal güvenlik numaraları) hassas verileri elde etmenin ve çeşitli hizmetlere (örn. Chatgpt, Slack, Notion, Zum).
Terk edilmiş bir alana sahip olan geçersiz başlangıçlar için Crunchbase veritabanına bakarak Ayrey, 116.481 alan olduğunu keşfetti.
Google’ın OAuth sisteminde, bir alt talep, her bir kullanıcı için, potansiyel alan veya e -posta sahipliği değişikliklerine rağmen kullanıcıları tanımlamak için kesin bir referans olarak hareket etmeyi amaçlayan benzersiz ve değişmez bir tanımlayıcı sağlamayı amaçlamaktadır.
Bununla birlikte, araştırmacının açıkladığı gibi, alt iddiada kabaca% 0,04 tutarsızlık oranı vardır, bu da Slack ve Finion gibi aşağı akış hizmetlerini tamamen ve yalnızca e -postaya ve barındırılan alan adlarını barındırmaya zorlamak için zorlamaktadır.
E -posta talebi, kullanıcının e -posta adresine bağlıdır ve barındırılan etki alanı talebi etki alanı sahipliğine bağlıdır, böylece her ikisi de SaaS platformlarında eski çalışanları taklit edebilen yeni sahipler tarafından miras alınabilir.
Araştırmacıların önerdiği bir çözüm, Google'ın değişmez tanımlayıcıları tanıttığı, yani benzersiz ve kalıcı bir kullanıcı kimliği ve orijinal kuruluşa bağlı benzersiz bir çalışma alanı kimliği.
SaaS sağlayıcıları ayrıca çapraz referans alan kayıt tarihleri gibi ek önlemler uygulayabilir, hesap erişimi için yönetici düzeyinde onaylar uygulamak veya kimlik doğrulaması için ikincil faktörler kullanabilir.
Ancak bu önlemler maliyetler, teknik komplikasyonlar ve giriş sürtünmesi getirir. Dahası, şu anda ödeme yapan müşterileri koruyacaklardı, bu yüzden onları uygulama teşviki düşük.
Sorun milyonlarca insanı ve binlerce şirketi etkiliyor ve sadece zamanla büyüyor.
TruffLesurity raporu, satın alınabilecek alan adlarına sahip başarısız girişimlerde milyonlarca çalışan hesabı olabileceğini belirtiyor.
Şu anda, teknoloji girişimleri için çalışan altı milyon Amerikalı var, bunların% 90'ı sonraki yıllarda istatistiksel olarak yok olmaya mahkum.
Bu şirketlerin yaklaşık% 50'si e -posta için Google çalışma alanlarını kullanıyor, bu nedenle çalışanları Gmail hesaplarını kullanarak üretkenlik araçlarına giriş yapıyor.
Bunlar arasındaysanız, başlangıçtan ayrılırken hassas verileri hesaplardan kaldırdığınızdan emin olun ve gelecekteki maruz kalmayı önlemek için kişisel hesap kayıtları için çalışma hesapları kullanmaktan kaçının.
Bilgisayar korsanları Google Reklam Hesaplarını Çalmak İçin Google Arama Reklamlarını Kullanın
Bilgisayar korsanları yeni yüksek hızlı Microsoft 365 şifre saldırılarında Fasthttp kullanıyor
Oyuncu Hesaplarını Hacklemek İçin Kullanılan Sürgün 2 Yönetici Hesabı Çalıntı Yolu
Yeni ayrıntılar, bilgisayar korsanlarının 35 Google Chrome uzantısını nasıl ele geçirdiğini ortaya koyuyor
Microsoft Bing, 'Google' aramalar için yanıltıcı Google benzeri sayfa gösteriyor
Kaynak: Bleeping Computer