Μια αδυναμία στη δυνατότητα “Σύνδεση με Google” του OAuth της Google θα μπορούσε να επιτρέψει στους εισβολείς που καταχωρούν τομείς εκκινήσεων που δεν λειτουργούν να έχουν πρόσβαση σε ευαίσθητα δεδομένα λογαριασμών πρώην υπαλλήλων που συνδέονται με διάφορες πλατφόρμες λογισμικού ως υπηρεσία (SaaS).
Το κενό ασφαλείας ανακαλύφθηκε από ερευνητές του Trufflesecurity και αναφέρθηκε στην Google πέρυσι στις 30 Σεπτεμβρίου.
Η Google αρχικά αγνόησε το εύρημα ως ζήτημα «απάτης και κατάχρησης» και όχι ως ζήτημα Oauth ή σύνδεσης. Ωστόσο, αφού ο Dylan Ayrey, CEO και συνιδρυτής της Trufflesecurity, παρουσίασε το θέμα στο Shmoocon Τον περασμένο Δεκέμβριο, ο τεχνολογικός γίγαντας απένειμε 1337 δολάρια στους ερευνητές και άνοιξε ξανά το εισιτήριο.
Πηγή: Trufflesecurity
Τη στιγμή της δημοσίευσης, όμως, το θέμα παραμένει αδιόρθωτο και εκμεταλλεύσιμο. Σε μια δήλωση για το BleepingComputer, ένας εκπρόσωπος της Google είπε ότι η εταιρεία συνιστά στους πελάτες να ακολουθούν τις βέλτιστες πρακτικές και να “κλείνουν σωστά τους τομείς”.
“Εκτιμούμε τη βοήθεια του Dylan Ayrey στον εντοπισμό των κινδύνων που προκύπτουν από τους πελάτες που ξεχνούν να διαγράψουν υπηρεσίες SaaS τρίτων ως μέρος της απόρριψης της λειτουργίας τους”, δήλωσε εκπρόσωπος της Google στο BleepingComputer.
Ως βέλτιστη πρακτική, συνιστούμε στους πελάτες να κλείσουν σωστά τους τομείς που ακολουθούν αυτές τις οδηγίες για να καταστήσει αδύνατη αυτό το είδος ζητήματος. Επιπλέον, ενθαρρύνουμε τις εφαρμογές τρίτων να ακολουθούν τις βέλτιστες πρακτικές χρησιμοποιώντας τα μοναδικά αναγνωριστικά λογαριασμού (sub) για να μετριάσουν αυτόν τον κίνδυνο” – εκπρόσωπος της Google
Το υποκείμενο ζήτημα
Σε μια σημερινή αναφορά, το Ayrey περιγράφει το ζήτημα ως «η σύνδεση της Google στο OAuth δεν προστατεύει από κάποιον που αγοράζει τον τομέα μιας αποτυχημένης εκκίνησης και τον χρησιμοποιεί για να δημιουργήσει ξανά λογαριασμούς email για πρώην υπαλλήλους».
Η δημιουργία κλώνων μηνυμάτων ηλεκτρονικού ταχυδρομείου δεν παρέχει στους νέους κατόχους πρόσβαση σε προηγούμενες επικοινωνίες σε πλατφόρμες επικοινωνίας, αλλά οι λογαριασμοί μπορούν να χρησιμοποιηθούν για την εκ νέου σύνδεση σε υπηρεσίες όπως το Slack, το Notion, το Zoom, το ChatGPT και διάφορες πλατφόρμες ανθρώπινων πόρων (HR).
Ο ερευνητής έδειξε ότι με την αγορά ενός ανενεργού τομέα και την πρόσβαση σε πλατφόρμες SaaS, είναι δυνατή η εξαγωγή ευαίσθητων δεδομένων από συστήματα ανθρώπινου δυναμικού (φορολογικά έγγραφα, ασφαλιστικά στοιχεία και αριθμοί κοινωνικής ασφάλισης) και η σύνδεση σε διάφορες υπηρεσίες (π.χ. ChatGPT, Slack, Notion, Ανίπταμαι διαγωνίως).
Ψάχνοντας στη βάση δεδομένων του Crunchbase για εκκινήσεις που δεν λειτουργούν τώρα με εγκαταλελειμμένο τομέα, ο Ayrey ανακάλυψε ότι υπήρχαν 116.481 διαθέσιμοι τομείς.
Στο σύστημα OAuth της Google, μια δευτερεύουσα αξίωση προορίζεται να παρέχει ένα μοναδικό και αμετάβλητο αναγνωριστικό για κάθε χρήστη σε όλες τις συνδέσεις, που προορίζεται να λειτουργεί ως οριστική αναφορά για την αναγνώριση χρηστών παρά τις πιθανές αλλαγές ιδιοκτησίας τομέα ή ηλεκτρονικού ταχυδρομείου.
Ωστόσο, όπως ο ερευνητής εξηγείυπάρχει ένα ποσοστό ασυνέπειας περίπου 0,04% στη δευτερεύουσα αξίωση, αναγκάζοντας μεταγενέστερες υπηρεσίες όπως το Slack και το Notion να το αγνοήσουν πλήρως και να βασίζονται αποκλειστικά σε αξιώσεις ηλεκτρονικού ταχυδρομείου και φιλοξενούμενου τομέα.
Πηγή: Trufflesecurity
Η αξίωση ηλεκτρονικού ταχυδρομείου συνδέεται με τη διεύθυνση ηλεκτρονικού ταχυδρομείου του χρήστη και η αξίωση του φιλοξενούμενου τομέα συνδέεται με την ιδιοκτησία του τομέα, επομένως και τα δύο μπορούν να κληρονομηθούν από νέους κατόχους που μπορούν στη συνέχεια να μιμηθούν πρώην υπαλλήλους σε πλατφόρμες SaaS.
Μια λύση που προτείνουν οι ερευνητές είναι ότι η Google εισήγαγε αμετάβλητα αναγνωριστικά, δηλαδή ένα μοναδικό και μόνιμο αναγνωριστικό χρήστη και ένα μοναδικό αναγνωριστικό χώρου εργασίας συνδεδεμένο με τον αρχικό οργανισμό.
Οι πάροχοι SaaS μπορούν επίσης να εφαρμόσουν πρόσθετα μέτρα όπως η διασταύρωση ημερομηνιών εγγραφής τομέα, η επιβολή εγκρίσεων σε επίπεδο διαχειριστή για πρόσβαση στον λογαριασμό ή η χρήση δευτερευόντων παραγόντων για επαλήθευση ταυτότητας.
Αυτά τα μέτρα, ωστόσο, εισάγουν κόστος, τεχνικές επιπλοκές και τριβή σύνδεσης. Επιπλέον, θα προστάτευαν πρώην πελάτες που δεν πληρώνουν επί του παρόντος, επομένως το κίνητρο για την εφαρμογή τους είναι χαμηλό.
Ένας διαρκώς αυξανόμενος κίνδυνος
Το πρόβλημα επηρεάζει εκατομμύρια ανθρώπους και χιλιάδες εταιρείες και μεγαλώνει μόνο με τον καιρό.
Η αναφορά Trufflesecurity σημειώνει ότι ενδέχεται να υπάρχουν εκατομμύρια λογαριασμοί εργαζομένων σε αποτυχημένες εκκινήσεις που έχουν διαθέσιμους τομείς για αγορά.
Επί του παρόντος, υπάρχουν έξι εκατομμύρια Αμερικανοί που εργάζονται για νεοσύστατες εταιρείες τεχνολογίας, εκ των οποίων το 90% προορίζεται στατιστικά να εξαφανιστεί τα επόμενα χρόνια.
Περίπου το 50% αυτών των εταιρειών χρησιμοποιούν το Google Workspace για email, επομένως οι υπάλληλοί τους συνδέονται στα εργαλεία παραγωγικότητας χρησιμοποιώντας τους λογαριασμούς τους στο Gmail.
Εάν είστε μεταξύ αυτών, φροντίστε να αφαιρέσετε ευαίσθητα δεδομένα από λογαριασμούς όταν αποχωρείτε από μια εκκίνηση και αποφύγετε τη χρήση λογαριασμών εργασίας για εγγραφές προσωπικών λογαριασμών για να αποτρέψετε μελλοντική έκθεση.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
