研究者松露安全發現了一個功能缺陷GoogleOAuth,Google 實作開放的 OAuth 標準。它允許用戶授權第三方應用程式安全地存取其在 Google 服務上的數據,例如 Gmail、Google Drive、YouTube 或 Google Docs。
根據專家調查,有可能利用OAuth系統的「Connect with Google」功能來控制屬於破產公司。此缺陷僅涉及已經關門的新創企業。
OAuth 違規和資料竊取
當公司使用 OAuth 時,它會為其應用程式註冊一個網域。該域用作識別符。但是,如果企業提前關閉並放棄其域名,則可以由個人購買。正如研究員迪倫·艾雷(Dylan Ayrey)所解釋的那樣,“Google 的 OAuth 登入並不能防止有人購買失敗的新創公司的網域並使用它為前員工重新創建電子郵件帳戶”。
OAuth 憑證通常是與域相關,而不是不可變的識別符。如果網域的所有權發生變化,像 Google OAuth 這樣的系統並不總是能夠偵測到這種變化。事實上,新主人可以使用該功能重新連接到第三方服務,例如 Slack、Notion、Zoom,甚至 ChatGPT。這些只是其中的一些例子。
“雖然您無法存取舊的電子郵件數據,但您可以使用這些帳戶登入公司使用的所有不同產品”,Trufflesecurity 解釋道。
因此,潛在的攻擊者可以外洩敏感數據從帳戶中。研究人員已經證明,透過連接專用於人力資源的平台可以獲得機密文件。最終可能落入駭客手中的文件包括稅務文件、保險資訊和社會安全號碼。這些資訊可能對受影響的人構成嚴重威脅。有了社會安全號碼,駭客就可以嘗試身分盜竊。
研究人員指出,Google OAuth 嵌入了一個系統從屬主張,應該扮演分配給每個使用者的唯一識別碼的角色,無論他們的網域名稱或電子郵件地址如何演變。不幸的是,這個機制的不一致率為0.04%。顯然,部分從屬權利要求不會隨著時間的推移而保持不變。在這種情況下,第三方服務不能只依靠從屬權利要求來識別使用者身分。然後,他們依賴電子郵件地址和域名,為資料外洩打開了大門。
數百萬人受到影響
正如這項發現背後的研究人員指出的那樣,該缺陷威脅著數百萬人。事實上,目前有超過 110,000 個可用域名屬於破產公司。每個在這些公司工作過的人的個人資料都可能被網路犯罪者竊取。
“數百萬美國人的數據現在可能被盜”,Trufflesecurity 報告稱。
不出所料,Dylan Ayrey 就 Google OAuth 中的漏洞向 Google 發出了警報。起初,這家山景城巨頭拒絕修補漏洞,認為這更多的是詐欺和濫用問題。隨後,Google改變了主意同意調查該問題名詞然而,該漏洞仍然開放且可利用。
在給我們同事的回應中電腦發出蜂鳴聲,該組表示感謝“ Dylan Ayrey 幫助識別客戶在終止業務時忘記刪除第三方服務所帶來的風險”。谷歌建議破產公司“適當關閉他們的域名”採取一系列預防措施,包括在此過程中刪除所有使用者資料。
此外,谷歌鼓勵“第三方應用程式遵循使用唯一帳戶識別碼的最佳實務”。對迪倫艾雷來說,“如果沒有使用者和工作空間的不可變憑證,網域所有權的變更將繼續危害帳戶”。
來源 : 電腦發出蜂鳴聲
