研究人员松露安全发现了一个功能缺陷谷歌OAuth,Google 实施开放的 OAuth 标准。它允许用户授权第三方应用程序安全地访问其在 Google 服务上的数据,例如 Gmail、Google Drive、YouTube 或 Google Docs。
据专家调查,有可能利用OAuth系统的“Connect with Google”功能来控制属于破产公司。该缺陷仅涉及已经关门的初创企业。
OAuth 违规和数据盗窃
当公司使用 OAuth 时,它会为其应用程序注册一个域。该域用作标识符。但是,如果企业提前关闭并放弃其域名,则可以由个人购买。正如研究员迪伦·艾雷(Dylan Ayrey)解释的那样,“Google 的 OAuth 登录并不能防止有人购买失败的初创公司的域名并使用它为前员工重新创建电子邮件帐户”。
OAuth 凭据通常是与域相关,而不是不可变的标识符。如果域的所有权发生变化,像 Google OAuth 这样的系统并不总是能够检测到这种变化。事实上,新主人可以使用该功能重新连接到第三方服务,例如 Slack、Notion、Zoom,甚至 ChatGPT。这些只是其中的一些例子。
“虽然您无法访问旧的电子邮件数据,但您可以使用这些帐户登录公司使用的所有不同产品”,Trufflesecurity 解释道。
因此,潜在的攻击者可以泄露敏感数据从账户中。研究人员已经证明,通过连接专用于人力资源的平台可以获得机密文件。最终可能落入黑客手中的文件包括税务文件、保险信息和社会安全号码。这些信息可能对受影响的人构成严重威胁。有了社会安全号码,黑客就可以尝试身份盗窃。
研究人员指出,Google OAuth 嵌入了一个系统从属主张,应该扮演分配给每个用户的唯一标识符的角色,无论他们的域名或电子邮件地址如何演变。不幸的是,这个机制的不一致率为0.04%。显然,部分从属权利要求不会随着时间的推移保持不变。在这种情况下,第三方服务不能仅依靠从属权利要求来识别用户身份。然后,他们依赖电子邮件地址和域名,为数据泄露打开了大门。
数百万人受到影响
正如这一发现背后的研究人员指出的那样,该缺陷威胁着数百万人。事实上,目前有超过 110,000 个可用域名属于破产公司。每个在这些公司工作过的人的个人数据都可能被网络犯罪分子窃取。
“数百万美国人的数据现在可能被盗”,Trufflesecurity 报告称。
不出所料,Dylan Ayrey 就 Google OAuth 中的漏洞向 Google 发出了警报。起初,这家山景城巨头拒绝修补该漏洞,认为这更多的是欺诈和滥用问题。随后,谷歌改变了主意同意调查该问题名词然而,该漏洞仍然开放且可利用。
在给我们同事的回应中电脑发出蜂鸣声,该组表示感谢“迪伦·艾雷 (Dylan Ayrey) 帮助识别客户在终止业务时忘记删除第三方服务所带来的风险”。谷歌建议破产公司“适当关闭他们的域名”采取一系列预防措施,包括在此过程中删除所有用户数据。
此外,谷歌鼓励“第三方应用程序遵循使用唯一帐户标识符的最佳实践”。对于迪伦·艾雷来说,“如果没有用户和工作空间的不可变凭据,域所有权的变化将继续危害帐户”。
来源 : 电脑发出蜂鸣声
