10.6 C
Athens
Πέμπτη, 13 Φεβρουαρίου 2025

Η Google προειδοποιεί τους χρήστες του Gmail για τα νέα μέτρα ασφαλείας

Την ώρα που η Google ετοιμάζεται να εφαρμόσει νέους κανόνες ασφαλείας, βοηθώντας στην περαιτέρω προστασία των χρηστών, μία νέα μελέτη αναδεικνύει ένα διαφορετικό πρόβλημα που αφορά τους χρήστες του Gmail.

Συγκεκριμένα, σύμφωνα με το Forbes, μία έρευνα που δημοσιεύτηκε στις 13 Ιανουαρίου, δείχνει πως ο έλεγχος ταυτότητας OAuth της Google μπορεί να αξιοποιηθεί από χάκερ για να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα από, ενδεχομένως, εκατομμύρια λογαριασμούς.

«Έδειξα αυτό το πρόβλημα συνδεόμενος σε λογαριασμούς που δεν μου ανήκαν», δήλωσε ο Dylan Ayrey, CEO και συνιδρυτής της Trufflesecurity, «και η Google απάντησε ότι αυτή η υπηρεσία λειτουργούσε όπως προβλεπόταν».

Τι έδειξε η έρευνα
Ο Ayrey εξήγησε ότι το πρόβλημα βασίζεται στο γεγονός ότι η σύνδεση OAuth της Google «δεν προστατεύει από κάποιον που αγοράζει το domain μιας κλειστής εταιρείας και το χρησιμοποιεί για να δημιουργήσει εκ νέου λογαριασμούς ηλεκτρονικού ταχυδρομείου για πρώην υπαλλήλους», γεγονός που αφήνει ορθάνοιχτη την πόρτα σε έναν εισβολέα που χρησιμοποιεί αυτούς τους λογαριασμούς για να συνδεθεί σε οποιοδήποτε προϊόν λογισμικού ως υπηρεσία που είχε χρησιμοποιήσει ο οργανισμός.

Τι είδους υπηρεσίες, θα αναρωτηθείτε; Λοιπόν, η έρευνα ασφαλείας έδειξε πώς μόνο ένας από αυτούς τους ανενεργούς τομείς άνοιξε τις πόρτες ασφαλείας για πρόσβαση σε λογαριασμούς πρώην εργαζομένων που αφορούσαν τις υπηρεσίες ChatGPT, Notion, Slack και Zoom. «Οι πιο ευαίσθητοι λογαριασμοί περιλάμβαναν συστήματα HR», δήλωσε ο Ayrey, “τα οποία περιείχαν φορολογικά έγγραφα, αποκόμματα μισθοδοσίας, ασφαλιστικές πληροφορίες, αριθμούς κοινωνικής ασφάλισης και πολλά άλλα.»

hacker

Η ρίζα του προβλήματος
Το πρόβλημα είναι τα δεδομένα που αποστέλλονται από τη Google όταν ένας χρήστης πατάει το κουμπί «Σύνδεση με τη Google» για να αποκτήσει πρόσβαση σε μια υπηρεσία.

Αυτά τα δεδομένα, περιλαμβάνουν τον προσδιορισμό του φιλοξενούμενου τομέα και της διεύθυνσης ηλεκτρονικού ταχυδρομείου του χρήστη. Ο πάροχος της υπηρεσίας χρησιμοποιεί συνήθως και τα δύο αυτά στοιχεία για να καθορίσει αν θα πρέπει να χορηγηθεί πρόσβαση.

Ωστόσο, ο Ayrey διαπίστωσε ότι αν μια υπηρεσία βασιζόταν αποκλειστικά σε αυτά, τυχόν αλλαγές στην ιδιοκτησία του τομέα δεν θα έμοιαζαν διαφορετικές. «Όταν κάποιος αγοράζει το domain μιας εταιρείας που έχει κλείσει», δήλωσε ο Ayrey, “κληρονομεί τα δεδομένα, που του παρέχουν πρόσβαση σε παλιούς λογαριασμούς εργαζομένων”.

Η απάντηση της Google
Ο Ayrey δήλωσε ότι το ζήτημα αναφέρθηκε αρχικά στην Google στις 30 Σεπτεμβρίου 2024 και σημειώθηκε ως «δεν θα διορθωθεί» στις 2 Οκτωβρίου 2024. Μετά την επίδειξη του exploit σε ένα μεγάλο συνέδριο ασφαλείας, το Shmoocon, τον Δεκέμβριο, η Google άνοιξε ξανά το ticket και απένειμε στους ερευνητές μια μικρή αμοιβή ύψους 1337 δολαρίων.

Τέλος, ο Ayrey υπογράμμισε πως η Google εργάζεται τώρα πάνω σε μια διόρθωση, αν και μένει να φανεί αν αυτή θα περιλαμβάνει την προσέγγιση που αναφέρεται στην έκθεση της Trufflesecurity, δηλαδή την εφαρμογή δύο νέων αμετάβλητων αναγνωριστικών ενός μοναδικού αναγνωριστικού χρήστη που δεν αλλάζει με την πάροδο του χρόνου και ενός μοναδικού αναγνωριστικού χώρου εργασίας που συνδέεται με τον τομέα.

ΠΗΓΗ

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Leave a reply

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

ΠΡΟΣΦΑΤΑ ΑΡΘΡΑ

To Apple TV+ διαθέσιμο πλέον σε συσκευές Android

H Apple προχώρησε σε μια μεγάλη κίνηση καθιστώντας την εφαρμογή Apple TV διαθέσιμη παγκοσμίως για λήψη σε συσκευές Android. Αυτό σημαίνει ότι οι χρήστες Android...

Ο πρώτος πάροχος με συμβόλαια μέσω gov.gr wallet

Ο πρώτος πάροχος που αξιοποιεί τη δυνατότητα σύμβασης συμβολαίου ηλεκτρικού ρεύματος είναι το Φυσικό Αέριο Ελλάδος. Αξίζει να σημειώσουμε ότι το ΥΠΕΝ είχε ανακοινώσει...

Google I/O 2025: Επίσημο – Ξεκινά στις 20 Μαΐου

Η Google έχει ορίσει την ημερομηνία για την επόμενη διάσκεψη προγραμματιστών I/O και αυτή είναι η 20η Μαΐου, όπως ανακοίνωσε η εταιρεία την Τρίτη. Όπως...

1 στους 4 έχει φλερτάρει με AI chatbot! – Η νέα μάστιγα στις εφαρμογές γνωριμιών

Μια πρόσφατη έρευνα που διεξήχθη από το World Network του Sam Altman αποκάλυψε ότι το 26% των συμμετεχόντων είχαν εμπλακεί σε φλερτ με AI...

Oppo Find N5: Το νέο βίντεο που δείχνει την μεγάλη αντοχή του στο νερό

H Oppo αναμένεται να παρουσιάσει επίσημα το νέο Oppo Find N5 σε λίγες ημέρες και πλέον κυκλοφόρησε ένα νέο promo video για τη συσκευή....

ΤΕΛΕΥΤΑΙΕΣ ΠΡΟΣΦΟΡΕΣ

Οι καλύτερες προσφορές που έχετε δει σε Microsoft Office και τα Windows 11, με τιμές από 10 € στο Godeal24… Μην τις χάσετε

Όταν πρόκειται για απαραίτητες εφαρμογές για το Mac ή τον υπολογιστή σας, δεν υπάρχει αμφιβολία πόσο χρήσιμη και ευέλικτη είναι πραγματικά η σουίτα του Office. Ενώ υπάρχουν...

Στα 229€ ΚΟΜΠΛΕ από Ευρώπη… 2K με 240Hz!!! Το πιο “ΔΥΝΑΤΟ” 25άρι Gaming Monitor που μπορείς να έχεις…

Όταν ψάχνεις κάτι με συγκεκριμένες προδιαγραφές και δεν βρίσκεις κάτι αντίστοιχο στην  Ελληνική Αγορά κι αυτά που βρίσκεις  είναι και ακριβότερα αλλά και με...

Ότι καλύτερο “Πήρα” για φωτογραφία, βίντεο… και πολλά άλλα με 25€ από Ελλάδα!!!

Ναι είναι ιδιαίτερο αλλά ναι... νομίζω πως όλοι θέλουμε κάτι τέτοιο! Και... έχω την αίσθηση πως είναι τόσο έξυπνα σχεδιασμένο που είτε για φωτογραφία ή...

Διπλής Δέσμης Φακός Κόσμημα… Για το Σαλόνι και το Αλώνι… Στα 29€ Κομπλέ Niwalker ETmini

Σε αυτό το κομμάτι της τεχνολογίας που περιέχει και τους φακούς... πραγματικά μπορείς να χαθείς γιατί υπάρχουν, άπειρες επιλογές λες και υπάρχει ένας φακός...

Με Δικό του GPS και Military Standards το Smartwatch του “ΑΘΛΗΤΗ” … Στα 54€ κομπλέ!!! Zeblaze Stratos 3 Ultra

Έχει το δικό του GPS και μάλιστα με 5 διαφορετικά συστήματα για καλύτερη ακρίβεια, Έχει Us Military Stadar για αντοχή στα δύσκολά και αδιαβροχοποίηση...
Μετάβαση στο περιεχόμενο