Миллионы аккаунтов оказались уязвимы из-за Google OAuth
Уязвимость функции Google OAuth «Войти через Google» может позволить злоумышленникам при регистрации доменов несуществующих стартапов получить доступ к конфиденциальным данным бывших учётных записей сотрудников, связанных с различными платформами программного обеспечения как услуги (SaaS).
Её обнаружили исследователи Trufflesecurity. Они сообщили Google о бреши в безопасности 30 сентября 2024 года. Изначально компания проигнорировала проблему, связав её с «мошенничеством и злоупотреблениями», а не с Oauth. Однако после того, как генеральный директор Trufflesecurity Дилан Эйри представил проблему на Shmoocon в декабре прошлого года, технологический гигант назначил исследователям вознаграждение в размере $1337 и снова открыл тикет. Пока же уязвимость остаётся неисправленной и потенциально может эксплуатироваться.
Представитель Google сказал, что компания рекомендует клиентам следовать передовым практикам и «правильно закрывать домены». «Мы ценим помощь Дилана Эйри в выявлении рисков, возникающих из-за того, что клиенты забывают удалить сторонние SaaS-сервисы в рамках отказа от своей деятельности», — отметил он.
Также в Google призвали сторонние приложения следовать передовым практикам, используя уникальные идентификаторы учётных записей (sub), чтобы снизить риски.
Как сообщается в отчёте, «вход OAuth от Google не защищает от покупки домена неудачного стартапа и использования его для повторного создания учётных записей электронной почты для бывших сотрудников». Создание таких клонов не даёт новым владельцам доступа к предыдущим сообщениям, но эти аккаунты могут использоваться для повторного входа в такие сервисы, как Slack, Notion, Zoom, ChatGPT и на различные платформы по работе с персоналом.
Исследователь продемонстрировал,
Читать на habr.com