Дослідники з компанії Trufflesecurity виявили критичну вразливість у системі автентифікації “Увійти через Google”, яка становить серйозну загрозу для конфіденційних даних. Вразливість дозволяє зловмисникам отримувати несанкціонований доступ до корпоративних сервісів через захоплення занедбаних доменів збанкрутілих компаній.
Технічні особливості вразливості
Основною проблемою є недосконалість механізму OAuth від Google при обробці claim-параметрів. Хоча система передбачає використання унікального ідентифікатора “sub” для надійної автентифікації користувачів, більшість SaaS-платформ ігнорують цей параметр через технічні складнощі, покладаючись натомість на менш надійну перевірку email-адреси та домену.
Масштаби потенційної загрози
За даними аналізу бази Crunchbase, під загрозою знаходяться понад 116 000 доменів закритих стартапів. Зловмисники, отримавши контроль над такими доменами, можуть відтворювати корпоративні email-адреси та отримувати доступ до критично важливих сервісів, включаючи Slack, Notion, Zoom та ChatGPT. Дослідники продемонстрували можливість доступу до конфіденційної HR-документації, включаючи податкову інформацію та персональні дані колишніх співробітників.
Рекомендовані заходи безпеки
Експерти з кібербезпеки наголошують на необхідності впровадження комплексних заходів захисту:
– Впровадження незмінних ідентифікаторів користувачів
– Використання унікальних організаційних ID
– Моніторинг дат реєстрації доменів
– Обов’язкове адміністративне підтвердження доступу
– Застосування багатофакторної автентифікації
Незважаючи на виплату Google винагороди дослідникам у розмірі 1337 доларів США, вразливість залишається активною. Фахівці з кібербезпеки наголошують на необхідності системного вирішення проблеми на рівні протоколу OAuth, оскільки стандартних заходів безпеки та коректного закриття неактивних доменів недостатньо для повного захисту від потенційних загроз. Організаціям рекомендується терміново переглянути свої політики безпеки та впровадити додаткові механізми захисту корпоративних даних.
