Nieuw onderzoek wijst op een kwetsbaarheid in Google’s ‘Sign in with Google’-authenticatiemethode die ongeoorloofde toegang tot gevoelige gegevens mogelijk maakt door verlaten startup-domeinen te exploiteren, wat een potentieel risico vormt voor miljoenen Amerikaanse gebruikers.
Nieuw onderzoek brengt kwetsbaarheid aan het licht in de authenticatiemethode van Google
Dylan Ayrey, mede-oprichter en CEO van Truffle Security, onthuld dat de OAuth-aanmelding van Google geen bescherming biedt tegen iemand die het domein van een mislukte startup koopt en opnieuw e-mailaccounts aanmaakt voor voormalige werknemers. Hoewel dit geen toegang geeft tot oude e-mailgegevens, kunnen aanvallers wel inloggen op verschillende Software-as-a-Service (SaaS)-producten die door de organisatie worden gebruikt.
Uit het onderzoek blijkt dat het verkrijgen van toegang via deze accounts gebruikers op platforms als OpenAI ChatGPT, Slack, Notion, Zoom en verschillende HR-systemen in gevaar kan brengen. Gevoelige gegevens, waaronder belastingdocumenten, loonstrookjes, verzekeringsinformatie en burgerservicenummers, kunnen openbaar worden gemaakt. Interviewplatforms kunnen ook privé-informatie bevatten over feedback van kandidaten en wervingsbeslissingen.
Negeer het niet: de cyberbeveiligingsupdate van Adobe kan uw gegevens opslaan
OAuth, of open autorisatie, is een standaard waarmee gebruikers applicaties toegang tot hun gegevens kunnen verlenen zonder wachtwoorden te delen. Wanneer u zich aanmeldt bij applicaties met ‘Inloggen met Google’, geeft Google claims over de gebruiker, inclusief zijn e-mailadres en gehost domein. Als authenticatie uitsluitend op deze elementen berust, verhoogt dit het risico van ongeautoriseerde toegang na een verandering van domeineigendom.
Het probleem werd gedocumenteerd door Truffle Security-onderzoekers en op 30 september 2024 aan Google gerapporteerd. Google classificeerde de bevinding aanvankelijk als een fraude- en misbruikprobleem in plaats van als een fout in OAuth. Na Ayrey’s presentatie van de bevindingen op Shmoocon in december heropende Google het ticket en kende Ayrey een premie van $ 1.337 toe. Niettemin blijft de kwetsbaarheid onopgemerkt en kan er misbruik van worden gemaakt.
Het OAuth ID-token van Google bevat een unieke gebruikers-ID, de zogenaamde ‘subclaim’, die dergelijke problemen theoretisch zou moeten voorkomen. Echter, inconsistenties (ongeveer 0,04%) in de betrouwbaarheid van subclaims dwingen diensten als Slack en Notion om uitsluitend te vertrouwen op e-mail- en domeinclaims, die kunnen worden geërfd door nieuwe domeineigenaren, waardoor de nabootsing van voormalige werknemers mogelijk wordt.
Ayrey ontdekte 116.481 verlaten domeinen door de Crunchbase-database te scannen. Hij pleit voor de introductie door Google van onveranderlijke identificatiegegevens om de accountbeveiliging te versterken. Bovendien kunnen SaaS-providers maatregelen afdwingen, zoals het vergelijken van domeinregistratiedata of het vereisen van machtigingen op beheerdersniveau voor accounttoegang om de beveiliging te verbeteren.
Het implementeren van deze beveiligingsmaatregelen kan echter operationele kosten, technische uitdagingen en gebruikersirritaties met zich meebrengen, wat leidt tot een minimale prikkel voor adoptie. Het risico blijft toenemen en heeft mogelijk gevolgen voor miljoenen werknemersaccounts bij startups, vooral omdat statistisch gezien wordt verwacht dat 90% van de tech-startups failliet zal gaan.
Momenteel werken ongeveer zes miljoen Amerikanen bij tech-startups, waarbij ongeveer 50% Google Workspaces gebruikt voor e-mail, wat impliceert dat veel gebruikers inloggen op productiviteitstools met hun Google-accounts. Oud-werknemers wel geadviseerd om gevoelige informatie uit accounts te verwijderen voordat u dergelijke organisaties verlaat, waarbij het gebruik van werkaccounts voor persoonlijke registraties wordt vermeden om toekomstige veiligheidsrisico’s te beperken.
Uitgelichte afbeeldingscredits: Googlen
