Την ώρα που η Google ετοιμάζεται να εφαρμόσει νέους κανόνες ασφαλείας, βοηθώντας στην περαιτέρω προστασία των χρηστών, μία νέα μελέτη αναδεικνύει ένα διαφορετικό πρόβλημα που αφορά τους χρήστες του Gmail.
Συγκεκριμένα, σύμφωνα με το Forbes, μία έρευνα που δημοσιεύτηκε στις 13 Ιανουαρίου, δείχνει πως ο έλεγχος ταυτότητας OAuth της Google μπορεί να αξιοποιηθεί από χάκερ για να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα από, ενδεχομένως, εκατομμύρια λογαριασμούς.
«Έδειξα αυτό το πρόβλημα συνδεόμενος σε λογαριασμούς που δεν μου ανήκαν», δήλωσε ο Dylan Ayrey, CEO και συνιδρυτής της Trufflesecurity, «και η Google απάντησε ότι αυτή η υπηρεσία λειτουργούσε όπως προβλεπόταν».
Τι έδειξε η έρευνα
Ο Ayrey εξήγησε ότι το πρόβλημα βασίζεται στο γεγονός ότι η σύνδεση OAuth της Google «δεν προστατεύει από κάποιον που αγοράζει το domain μιας κλειστής εταιρείας και το χρησιμοποιεί για να δημιουργήσει εκ νέου λογαριασμούς ηλεκτρονικού ταχυδρομείου για πρώην υπαλλήλους», γεγονός που αφήνει ορθάνοιχτη την πόρτα σε έναν εισβολέα που χρησιμοποιεί αυτούς τους λογαριασμούς για να συνδεθεί σε οποιοδήποτε προϊόν λογισμικού ως υπηρεσία που είχε χρησιμοποιήσει ο οργανισμός.
Τι είδους υπηρεσίες, θα αναρωτηθείτε; Λοιπόν, η έρευνα ασφαλείας έδειξε πώς μόνο ένας από αυτούς τους ανενεργούς τομείς άνοιξε τις πόρτες ασφαλείας για πρόσβαση σε λογαριασμούς πρώην εργαζομένων που αφορούσαν τις υπηρεσίες ChatGPT, Notion, Slack και Zoom. «Οι πιο ευαίσθητοι λογαριασμοί περιλάμβαναν συστήματα HR», δήλωσε ο Ayrey, “τα οποία περιείχαν φορολογικά έγγραφα, αποκόμματα μισθοδοσίας, ασφαλιστικές πληροφορίες, αριθμούς κοινωνικής ασφάλισης και πολλά άλλα.»
Η ρίζα του προβλήματος
Το πρόβλημα είναι τα δεδομένα που αποστέλλονται από τη Google όταν ένας χρήστης πατάει το κουμπί «Σύνδεση με τη Google» για να αποκτήσει πρόσβαση σε μια υπηρεσία.
Αυτά τα δεδομένα, περιλαμβάνουν τον προσδιορισμό του φιλοξενούμενου τομέα και της διεύθυνσης ηλεκτρονικού ταχυδρομείου του χρήστη. Ο πάροχος της υπηρεσίας χρησιμοποιεί συνήθως και τα δύο αυτά στοιχεία για να καθορίσει αν θα πρέπει να χορηγηθεί πρόσβαση.
Ωστόσο, ο Ayrey διαπίστωσε ότι αν μια υπηρεσία βασιζόταν αποκλειστικά σε αυτά, τυχόν αλλαγές στην ιδιοκτησία του τομέα δεν θα έμοιαζαν διαφορετικές. «Όταν κάποιος αγοράζει το domain μιας εταιρείας που έχει κλείσει», δήλωσε ο Ayrey, “κληρονομεί τα δεδομένα, που του παρέχουν πρόσβαση σε παλιούς λογαριασμούς εργαζομένων”.
Η απάντηση της Google
Ο Ayrey δήλωσε ότι το ζήτημα αναφέρθηκε αρχικά στην Google στις 30 Σεπτεμβρίου 2024 και σημειώθηκε ως «δεν θα διορθωθεί» στις 2 Οκτωβρίου 2024. Μετά την επίδειξη του exploit σε ένα μεγάλο συνέδριο ασφαλείας, το Shmoocon, τον Δεκέμβριο, η Google άνοιξε ξανά το ticket και απένειμε στους ερευνητές μια μικρή αμοιβή ύψους 1337 δολαρίων.
Τέλος, ο Ayrey υπογράμμισε πως η Google εργάζεται τώρα πάνω σε μια διόρθωση, αν και μένει να φανεί αν αυτή θα περιλαμβάνει την προσέγγιση που αναφέρεται στην έκθεση της Trufflesecurity, δηλαδή την εφαρμογή δύο νέων αμετάβλητων αναγνωριστικών ενός μοναδικού αναγνωριστικού χρήστη που δεν αλλάζει με την πάροδο του χρόνου και ενός μοναδικού αναγνωριστικού χώρου εργασίας που συνδέεται με τον τομέα.
