เชื่อมต่อกับ Google: ข้อบกพร่องอาจทำให้เกิดการรั่วไหลของข้อมูลขนาดใหญ่

นักวิจัยความปลอดภัยของทรัฟเฟิลสได้ล้างข้อบกพร่องในการดำเนินงานของGoogle Oauthการใช้งาน Google ของมาตรฐาน OUETH OUEST ช่วยให้ผู้ใช้สามารถอนุญาตแอพพลิเคชั่นที่สามในการเข้าถึงข้อมูลของพวกเขาในบริการของ Google เช่น Gmail, Google Drive, YouTube หรือ Google เอกสาร

ขึ้นอยู่กับการตรวจสอบของผู้เชี่ยวชาญเป็นไปได้ที่จะใช้ฟังก์ชั่น“ การเชื่อมต่อกับ Google” ของระบบ OAuth เพื่อควบคุมบัญชีที่เป็นของบริษัท ล้มละลาย- ข้อบกพร่องเฉพาะข้อกังวลเกี่ยวกับการเริ่มต้นที่ปิดประตู

อ่านเพิ่มเติม:การตกปลาขนาดใหญ่บน Google เอกสารเน้นความเสี่ยงของโปรโตคอล OAuth

ข้อบกพร่องของ OAuth และการขโมยข้อมูล

เมื่อ บริษัท ใช้ OAuth จะบันทึกพื้นที่สำหรับแอปพลิเคชัน พื้นที่นี้ทำหน้าที่เป็นตัวระบุ อย่างไรก็ตามหาก บริษัท ปิดก่อนเวลาอันควรและละทิ้งโดเมนก็สามารถซื้อได้โดยบุคคล ในฐานะนักวิจัย Dylan Ayrey อธิบาย"การเชื่อมต่อ Oauth ของ Google ไม่ได้ป้องกันผู้ที่ซื้อสาขาการเริ่มต้นล้มละลายและใช้เพื่อสร้างบัญชีอีเมลใหม่สำหรับอดีตพนักงาน"-

ตัวระบุ Oauth มักจะเป็นเชื่อมโยงกับโดเมนและไม่ใช่ตัวระบุที่ไม่เปลี่ยนรูป หากโดเมนเปลี่ยนความเป็นเจ้าของระบบเช่น Google Oauth ไม่ได้มีวิธีตรวจสอบการดัดแปลงนี้เสมอไป de พฤตินัยเจ้าของใหม่สามารถใช้ฟังก์ชั่นเพื่อเชื่อมต่อกับบริการที่สาม -บุคคลเช่น Slack, Concept, Zoom หรือ ChatGPT นี่เป็นตัวอย่างเท่านั้น

"แม้ว่าคุณจะไม่สามารถเข้าถึงข้อมูลการส่งข้อความเก่า แต่คุณสามารถใช้บัญชีเหล่านี้เพื่อเชื่อมต่อกับผลิตภัณฑ์ที่แตกต่างทั้งหมดที่ บริษัท ใช้", trufflesecurity อธิบาย

ดังนั้นผู้โจมตีที่มีศักยภาพสามารถทำได้ข้อมูลที่ละเอียดอ่อน exfiltrateจากบัญชี นักวิจัยได้แสดงให้เห็นว่าเป็นไปได้ที่จะยึดเอกสารที่เป็นความลับโดยเชื่อมต่อกับแพลตฟอร์มที่อุทิศให้กับทรัพยากรมนุษย์ ในบรรดาไฟล์ที่สามารถจบลงในมือของโจรสลัดมีเอกสารภาษีข้อมูลประกันภัยและหมายเลขประกันสังคม ข้อมูลนี้สามารถแสดงถึงภัยคุกคามที่ร้ายแรงต่อผู้ที่เกี่ยวข้อง ด้วยหมายเลขประกันสังคมแฮ็กเกอร์สามารถพยายามขโมยข้อมูลประจำตัวได้

นักวิจัยชี้ให้เห็นว่า Google Oauth มีระบบของการจัดเรียงควรจะเล่นบทบาทของตัวระบุที่ไม่ซ้ำกันประกอบกับผู้ใช้แต่ละคนไม่ว่าจะเป็นวิวัฒนาการของโดเมนหรือที่อยู่อีเมลของเขา น่าเสียดายที่กลไกนี้มีอัตราความไม่สอดคล้องกันที่ 0.04 % เห็นได้ชัดว่าส่วนหนึ่งของ subclamations ไม่คงที่ตลอดเวลา ภายใต้เงื่อนไขเหล่านี้บริการของบุคคลที่สามไม่สามารถพึ่งพา subclamation เพียงอย่างเดียวเพื่อระบุผู้ใช้ จากนั้นพวกเขาพึ่งพาที่อยู่อีเมลและอสังหาริมทรัพย์เปิดประตูสู่การรั่วไหลของข้อมูล

อ่านเพิ่มเติม:Google กำลังเปิดตัวการแจ้งเตือน - มัลแวร์ playfulghost บุกรุกผลการค้นหา

บุคคลหลายล้านคนได้รับผลกระทบ

ในขณะที่นักวิจัยมีต้นกำเนิดมาจากการค้นพบความผิดนั้นคุกคามผู้คนหลายล้านคน แน่นอนมีอยู่ในปัจจุบันมีพื้นที่มากกว่า 110,000 แห่งเป็นของ บริษัท ที่ล้มละลาย ทุกคนที่ทำงานให้กับ บริษัท เหล่านี้สามารถเห็นข้อมูลส่วนบุคคลของพวกเขาได้รับความเข้มแข็งจากอาชญากรไซเบอร์

"ชาวอเมริกันหลายล้านคนสามารถขโมยข้อมูลของพวกเขาได้ในขณะนี้"ระบุรายงาน Trufflesecurity

น่าแปลกใจที่ Dylan Ayrey แจ้งเตือน Google ว่าด้วยความอ่อนแอภายใน Google Oauth ก่อนอื่นยักษ์ใหญ่ชมภูเขาปฏิเสธที่จะแก้ไขช่องโหว่โดยเชื่อว่ามันเป็นปัญหาของการฉ้อโกงและการละเมิด ต่อจากนั้น Google เปลี่ยนใจและยอมรับให้ดูภารกิจn. อย่างไรก็ตามความผิดนั้นเปิดกว้างและใช้งานได้เสมอ

ในปฏิกิริยาที่ส่งถึงเพื่อนร่วมงานของเราจากคอมพิวเตอร์ bleepingกลุ่มระบุว่าขอบคุณ"Dylan Ayrey ที่ช่วยระบุความเสี่ยงที่เชื่อมโยงกับการลืมโดยลูกค้าเพื่อลบบริการที่สามในระหว่างการหยุดกิจกรรมของพวกเขา"- Google แนะนำธุรกิจที่ล้มละลาย"ปิดพื้นที่อย่างถูกต้อง"โดยการใช้ข้อควรระวังโดยเฉพาะอย่างยิ่งโดยการลบข้อมูลผู้ใช้ทั้งหมดในกระบวนการ

นอกจากนี้ Google สนับสนุน"แอปพลิเคชั่นที่สาม -Party เพื่อปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดโดยใช้ตัวระบุบัญชีที่ไม่ซ้ำกัน"- สำหรับ Dylan Ayrey"หากไม่มีตัวระบุที่ไม่เปลี่ยนรูปสำหรับผู้ใช้และพื้นที่ทำงานการเปลี่ยนแปลงในฟิลด์จะยังคงประนีประนอมบัญชี"-

🔴อย่าพลาดข่าว 01NET ใด ๆ ติดตามเราที่Google NewsETWhatsapp-

แหล่งที่มา : คอมพิวเตอร์ bleeping