Apie „Google“ nuolat rašoma naujienose ir, deja, ne visada dėl teigiamų priežasčių, ypač susijusių su saugumo klausimais. Puiku, kad netrukus bus pradėtos taikyti naujos saugumo taisyklės, padėsiančios apsaugoti naudotojus, o „Gmail“ naudotojams, sužinojusiems, kad buvo įsilaužta į jų paskyras, yra stipri pagalba.
Vis dėlto, kadangi vartotojai jau dabar yra labai budrūs, nes tęsiasi dviejų veiksnių autentifikavimo apėjimo atakos, „Google“ mažiausiai reikia dar daugiau blogų naujienų, susijusių su saugiu prisijungimu prie paskyrų.
Tačiau blogų naujienų ji sulaukė paskelbus tyrimą, kuriame parodyta, kaip „Google OAuth“ autentifikavimo sistema gali pasinaudoti įsilaužėliai, kad gautų prieigą prie slaptų duomenų iš galimai milijonų paskyrų. Štai ką reikia žinoti.
Paaiškinta pažeidžiamumo „Sign in with Google“ problema
Sausio 13 dienos ataskaitoje atskleista, kaip saugumo tyrėjai aptiko gana šokiruojantį pažeidžiamumą, turintį įtakos „Google“ autentifikavimo srautui „Sign in with Google“. „Šią spragą pademonstravau prisijungdamas prie paskyrų, kurios man nepriklausė, o „Google“ atsakė, kad toks elgesys veikia kaip numatyta“, – teigia saugumo analitikas.
Jis įspėjo visus, kurie kada nors anksčiau dirbo pradedančiojoje įmonėje, ypač tokioje, kuri šiuo metu nutraukė veiklą, kad jie gali būti pažeidžiami šiuo įsilaužimo atakos metodu. Analitikas paaiškino, kad problema grindžiama tuo, jog „Google OAuth“ prisijungimo funkcija neapsaugo nuo to, kad kas nors įsigytų žlugusio startuolio domeną ir jį panaudotų buvusių darbuotojų el. pašto paskyroms iš naujo sukurti.
Tokiu būdu sukčiams lieka atviros durys, kad naudodamiesi tomis paskyromis jie galėtų prisijungti prie bet kokių programinės įrangos kaip paslaugos produktų, kuriais naudojosi organizacija. Saugumo tyrime parodyta, kaip tik vienas iš šių neveikiančių domenų atvėrė saugumo duris prieigai prie buvusių darbuotojų paskyrų, susijusių su „ChatGPT“, „Notion“, „Slack“ ir „Zoom“. „Pačios jautriausios paskyros apėmė personalo sistemas, kuriose buvo mokesčių dokumentai, atlyginimų kvitai, draudimo informacija, socialinio draudimo numeriai ir kt.“, – teigia analitikas.
„Google“ atsakas į „OAuth“ įsilaužimo riziką
Analitikas sakė, kad apie problemą „Google“ iš pradžių buvo pranešta 2024 metų rugsėjo 30 dieną, o 2024 metų spalio 2 dieną ji buvo pažymėta kaip nebus ištaisyta. Gruodžio mėnesį pagrindinėje saugumo konferencijoje „Shmoocon“ pademonstravus išnaudojimo būdą, „Google“ vėl atidarė bylą ir analitikams skyrė nedidelę 1,3 tūkst. eurųp premiją.
Analitikas teigė, kad „Google“ šiuo metu rengia ištaisymą, tačiau dar neaišku, ar tai bus „Trufflesecurity“ ataskaitoje minimas metodas, pagal kurį bus įdiegti du nauji nekeičiami identifikatoriai – unikalus naudotojo ID, kuris laikui bėgant nesikeičia, ir unikalus darbo vietos ID, susietas su domenu. Buvo kreiptasi į „Google“ dėl pareiškimo ir atstovas spaudai atsakė:
„Vertiname saugumo analtikų pagalbą nustatant riziką, kylančią dėl to, kad klientai pamiršta ištrinti trečiųjų šalių „SaaS“ paslaugas, išjungdami savo veiklą. Kaip geriausią praktiką rekomenduojame klientams tinkamai uždaryti domenus pagal šiuos nurodymus, kad tokio pobūdžio problemos būtų neįmanomos. Be to, skatiname trečiųjų šalių programas laikytis geriausios praktikos ir naudoti unikalius paskyros identifikatorius (sub), kad ši rizika būtų sumažinta“.
