Специалисты компании Trufflesecurity выявили серьезную уязвимость в механизме аутентификации «Войти с помощью Google», которая позволяет злоумышленникам получать несанкционированный доступ к конфиденциальным данным бывших сотрудников закрывшихся стартапов. Проблема затрагивает множество популярных SaaS-платформ и потенциально подвергает риску миллионы пользовательских аккаунтов.
Механизм эксплуатации уязвимости
Суть проблемы заключается в том, что система Google OAuth не предусматривает защиты от ситуаций, когда злоумышленники приобретают заброшенные домены обанкротившихся компаний. После получения контроля над доменом атакующие могут воссоздать email-аккаунты бывших сотрудников и использовать их для входа в различные корпоративные сервисы, включая Slack, Notion, Zoom и ChatGPT.
Масштаб потенциальной угрозы
Исследование базы данных Crunchbase показало наличие более 116 000 потенциально уязвимых доменов закрывшихся стартапов. В ходе демонстрации уязвимости исследователям удалось получить доступ к конфиденциальным HR-документам, включая налоговую информацию, данные страхования и номера социального страхования бывших сотрудников.
Технические аспекты уязвимости
Основная проблема кроется в механизме работы claim-параметров OAuth. Хотя Google предусмотрел использование уникального идентификатора «sub» для постоянной идентификации пользователей, большинство SaaS-сервисов игнорируют этот параметр из-за высокого процента несоответствий, полагаясь вместо этого на менее надежные параметры email и домена.
Рекомендуемые меры защиты
Эксперты рекомендуют внедрение следующих мер безопасности:
— Использование неизменяемых идентификаторов пользователей
— Внедрение уникальных ID для рабочих сред организаций
— Проведение перекрестных проверок дат регистрации доменов
— Обязательное одобрение доступа администраторами
— Использование дополнительных факторов аутентификации
На момент публикации уязвимость остается активной, несмотря на присуждение Google награды исследователям в размере 1337 долларов США. Представители компании рекомендуют пользователям следовать стандартным практикам безопасности и корректно закрывать неиспользуемые домены. Однако специалисты по кибербезопасности считают эти меры недостаточными и призывают к системному решению проблемы на уровне протокола OAuth.
