Νέα έρευνα υπογραμμίζει μια ευπάθεια στη μέθοδο ελέγχου ταυτότητας «Σύνδεση με Google» της Google που επιτρέπει μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα εκμεταλλευόμενοι εγκαταλελειμμένους τομείς εκκίνησης, θέτοντας δυνητικό κίνδυνο για εκατομμύρια Αμερικανούς χρήστες.
Νέα έρευνα αποκαλύπτει ευπάθεια στη μέθοδο ελέγχου ταυτότητας Google
Dylan Ayrey, συνιδρυτής και Διευθύνων Σύμβουλος της Truffle Security, αποκαλύφθηκε ότι η σύνδεση OAuth της Google αποτυγχάνει να προστατεύσει από κάποιον που αγοράζει τον τομέα μιας αποτυχημένης εκκίνησης και δημιουργεί εκ νέου λογαριασμούς email για πρώην υπαλλήλους. Αν και αυτό δεν παρέχει πρόσβαση σε παλιά δεδομένα email, επιτρέπει στους εισβολείς να συνδεθούν σε διάφορα προϊόντα Software-as-a-Service (SaaS) που χρησιμοποιούνται από τον οργανισμό.
Η έρευνα δείχνει ότι η απόκτηση πρόσβασης μέσω αυτών των λογαριασμών θα μπορούσε να θέσει σε κίνδυνο τους χρήστες σε πλατφόρμες όπως το OpenAI ChatGPT, το Slack, το Notion, το Zoom και πολλά συστήματα ανθρώπινου δυναμικού (HR). Θα μπορούσαν να εκτεθούν ευαίσθητα δεδομένα, συμπεριλαμβανομένων φορολογικών εγγράφων, αποδείξεων πληρωμής, ασφαλιστικών στοιχείων και αριθμών κοινωνικής ασφάλισης. Οι πλατφόρμες συνεντεύξεων μπορεί επίσης να περιέχουν ιδιωτικές πληροφορίες σχετικά με τα σχόλια των υποψηφίων και τις αποφάσεις πρόσληψης.
Μην αγνοήσετε: Η ενημέρωση κυβερνοασφάλειας της Adobe θα μπορούσε να σώσει τα δεδομένα σας
Το OAuth, ή ανοιχτή εξουσιοδότηση, είναι ένα πρότυπο που επιτρέπει στους χρήστες να παραχωρούν στις εφαρμογές πρόσβαση στα δεδομένα τους χωρίς να μοιράζονται κωδικούς πρόσβασης. Όταν συνδέεστε σε εφαρμογές χρησιμοποιώντας τη «Σύνδεση με Google», η Google παρέχει αξιώσεις σχετικά με τον χρήστη, συμπεριλαμβανομένης της διεύθυνσης ηλεκτρονικού ταχυδρομείου και του φιλοξενούμενου τομέα. Εάν ο έλεγχος ταυτότητας βασίζεται αποκλειστικά σε αυτά τα στοιχεία, αυξάνει τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης μετά από αλλαγή ιδιοκτησίας τομέα.
Το ζήτημα τεκμηριώθηκε από ερευνητές της Truffle Security και αναφέρθηκε στην Google στις 30 Σεπτεμβρίου 2024. Η Google αρχικά ταξινόμησε το εύρημα ως ζήτημα απάτης και κατάχρησης και όχι ως ελάττωμα του OAuth. Μετά την παρουσίαση των ευρημάτων από τον Ayrey στο Shmoocon τον Δεκέμβριο, η Google άνοιξε ξανά το εισιτήριο και απένειμε στον Ayrey ένα μπόνους 1.337 $. Ωστόσο, η ευπάθεια παραμένει αδιευκρίνιστη και εκμεταλλεύσιμη.
Το διακριτικό OAuth ID της Google περιλαμβάνει ένα μοναδικό αναγνωριστικό χρήστη που ονομάζεται “υπό αξίωση”, το οποίο θεωρητικά θα πρέπει να αποτρέπει τέτοια προβλήματα. Ωστόσο, οι ασυνέπειες —περίπου 0,04%— στην αξιοπιστία δευτερευουσών αξιώσεων αναγκάζουν υπηρεσίες όπως το Slack και το Notion να βασίζονται αποκλειστικά σε αξιώσεις ηλεκτρονικού ταχυδρομείου και τομέα, οι οποίες μπορούν να κληρονομηθούν από νέους κατόχους τομέα, επιτρέποντας την πλαστοπροσωπία πρώην υπαλλήλων.
Ο Ayrey ανακάλυψε 116.481 εγκαταλελειμμένους τομείς σαρώνοντας τη βάση δεδομένων Crunchbase. Υποστηρίζει την εισαγωγή από την Google αμετάβλητων αναγνωριστικών για την ενίσχυση της ασφάλειας του λογαριασμού. Επιπλέον, οι πάροχοι SaaS θα μπορούσαν να επιβάλουν μέτρα όπως η διασταύρωση ημερομηνιών εγγραφής τομέα ή η απαίτηση αδειών σε επίπεδο διαχειριστή για πρόσβαση στον λογαριασμό για τη βελτίωση της ασφάλειας.
Ωστόσο, η εφαρμογή αυτών των μέτρων ασφαλείας θα μπορούσε να συνεπάγεται λειτουργικό κόστος, τεχνικές προκλήσεις και τριβές χρηστών, οδηγώντας σε ελάχιστο κίνητρο για υιοθέτηση. Ο κίνδυνος συνεχίζει να επεκτείνεται, επηρεάζοντας δυνητικά εκατομμύρια λογαριασμούς εργαζομένων σε όλες τις νεοφυείς επιχειρήσεις, ειδικά καθώς το 90% των νεοσύστατων επιχειρήσεων τεχνολογίας αναμένεται στατιστικά να μην λειτουργούν.
Επί του παρόντος, περίπου έξι εκατομμύρια Αμερικανοί απασχολούνται σε νεοσύστατες εταιρείες τεχνολογίας, με περίπου το 50% να χρησιμοποιεί το Google Workspace για email, κάτι που σημαίνει ότι πολλοί χρήστες συνδέονται στα εργαλεία παραγωγικότητας χρησιμοποιώντας τους λογαριασμούς τους Google. Πρώην υπάλληλοι είναι συμβουλεύτηκε να αφαιρέσετε ευαίσθητες πληροφορίες από λογαριασμούς πριν αποχωρήσετε από τέτοιους οργανισμούς, αποφεύγοντας τη χρήση λογαριασμών εργασίας για προσωπικές εγγραφές για τον μετριασμό μελλοντικών εκθέσεων ασφαλείας.
Πίστωση επιλεγμένης εικόνας: Google
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
