Μια κρίσιμη ευπάθεια «Σύνδεση με Google» στο Google OAuth, θέτει εκατομμύρια Αμερικανούς σε κίνδυνο κλοπής δεδομένων, ιδιαίτερα εκείνων που έχουν εργαστεί για αποτυχημένες νεοσύστατες επιχειρήσεις.
Δείτε επίσης: Οι πρακτικές απορρήτου της Google δέχονται ξανά πυρά
Το ζήτημα έγκειται στον τρόπο με τον οποίο το σύστημα σύνδεσης OAuth της Google αλληλεπιδρά με την ιδιοκτησία του τομέα, επιτρέποντας σε κακόβουλους παράγοντες να εκμεταλλεύονται τομείς που δεν λειτουργούν και να αποκτούν μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητους λογαριασμούς.
Παρά το γεγονός ότι ειδοποιήθηκε για το ελάττωμα, η Google αρχικά απέρριψε το ζήτημα ως “λειτουργεί όπως έπρεπε“, αν και έκτοτε άνοιξε ξανά την υπόθεση και υποσχέθηκε μια διόρθωση.
Η ευπάθεια προέρχεται από την εφαρμογή OAuth της Google, η οποία επιτρέπει στους χρήστες να συνδέονται σε υπηρεσίες τρίτων χρησιμοποιώντας τα διαπιστευτήριά τους Google.
Όταν οι χρήστες κάνουν κλικ στην επιλογή “Σύνδεση με Google”, η Google στέλνει στην υπηρεσία ένα σύνολο αξιώσεων, συμπεριλαμβανομένης της διεύθυνσης ηλεκτρονικού ταχυδρομείου του χρήστη και ενός αναγνωριστικού συγκεκριμένου τομέα (την αξίωση hd). Αυτές οι αξιώσεις χρησιμοποιούνται από υπηρεσίες όπως το Slack, το Notion και το Zoom για την παραχώρηση πρόσβασης.
Ωστόσο, εάν μια startup κλείσει και ο τομέας της γίνει διαθέσιμος για αγορά, οι εισβολείς μπορούν να αγοράσουν τον τομέα, να δημιουργήσουν ξανά λογαριασμούς email για πρώην υπαλλήλους και να χρησιμοποιήσουν αυτούς τους λογαριασμούς για να συνδεθούν σε διάφορες πλατφόρμες SaaS.
Δείτε ακόμα: Ενημερώσεις Chrome και Firefox διορθώνουν σοβαρές ευπάθειες
Ενώ οι εισβολείς δεν μπορούν να έχουν πρόσβαση σε παλιά email, μπορούν να εκμεταλλευτούν τους αναδημιουργημένους λογαριασμούς για να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες που είναι αποθηκευμένες σε υπηρεσίες όπως συστήματα ανθρώπινου δυναμικού, πλατφόρμες συνομιλίας και εργαλεία συνεντεύξεων.
Ένας ερευνητής ασφάλειας το απέδειξε την ευπάθεια του Google OAuth, αγοράζοντας τον τομέα μίας startup που δεν λειτουργεί και αποκτώντας πρόσβαση σε λογαριασμούς σε πολλές πλατφόρμες. Τα πιο ευαίσθητα δεδομένα περιλάμβαναν αριθμούς κοινωνικής ασφάλισης, φορολογικά έγγραφα, αποκόμματα, ασφαλιστικές πληροφορίες και προσωπικά μηνύματα.
Ο ερευνητής πρότεινε στην Google να προσθέσει δύο αμετάβλητα αναγνωριστικά στις αξιώσεις OpenID Connect (OIDC):
- Ένα μοναδικό αναγνωριστικό χρήστη που παραμένει σταθερό με την πάροδο του χρόνου.
- Ένα μοναδικό αναγνωριστικό χώρου εργασίας συνδεδεμένο με τον τομέα.
Δείτε επίσης: Νέες πληροφορίες για το hack 35 επεκτάσεων του Google Chrome
Η κλοπή δεδομένων αποτελεί μια σύγχρονη απειλή που επηρεάζει άτομα και οργανισμούς σε παγκόσμιο επίπεδο. Πρόκειται για την παράνομη απόκτηση ευαίσθητων πληροφοριών, όπως προσωπικά δεδομένα, οικονομικά στοιχεία ή εμπορικά μυστικά, με σκοπό την εκμετάλλευση ή τη διάδοση τους. Οι επιθέσεις αυτού του είδους είναι συχνά αποτέλεσμα κυβερνοεπιθέσεων, παραβιάσεων ασφαλείας ή social engineering και μπορούν να προκαλέσουν σοβαρές οικονομικές και νομικές συνέπειες, καθώς και να πλήξουν την εμπιστοσύνη των πελατών και των συνεργατών. Για αυτόν τον λόγο, η προστασία των δεδομένων και η συνεχής ενημέρωση για τις εξελίξεις της ψηφιακής ασφάλειας είναι ζωτικής σημασίας.
Πηγή: cybersecuritynews
