Пакет робочих інструментів Google Workspace та система авторизації OAuth для логіну через Google є дуже популярними серед стартапів та бізнесів. Однак нове дослідження виявило серйозну вразливість, яка може виникнути, якщо компанії не закривають свої облікові записи Google належним чином перед тим, як їхні домени втрачають чинність і потрапляють у продаж, повідомляє Ars Technica.

Ділан Айрі, засновник компанії з кібербезпеки Truffle Security, виявив системну проблему, яка дозволяє зловмисникам використовувати домени, що втратили чинність, і які пов’язані з обліковими записами Google Workspace. Купуючи прострочений домен, Айрі продемонстрував можливість повторно активувати облікові записи Google, пов’язані з цим доменом, що може надати доступ до сторонніх сервісів, підключених через Google OAuth.

У своєму експерименті Айрі придбав домен, який раніше використовувався прогорівшим стартапом. Через повторно активовані облікові записи він успішно отримав доступ до таких сервісів, як Slack, ChatGPT, Zoom і HR-платформи. Він отримав конфіденційні дані, включаючи податкові документи, деталі співбесід та приватні повідомлення, що підкреслює ризики для конфіденційності та безпеки.

Google визнав результати дослідження та наголосив на важливості дотримання найкращих практик під час закриття облікових записів Workspace. “Ми вдячні Ділану Айрі за виявлення ризиків, які виникають через те, що клієнти забувають видаляти сторонні сервіси SaaS”, – зазначив представник Google.

Попри ці рекомендації, Айрі розкритикував ефективність заходів безпеки Google. Спочатку компанія відхилила проблему, класифікуючи її як “заплановану поведінку”, але пізніше знову відкрила справу після того, як результати дослідження привернули увагу. Google виплатив йому винагороду за виявлену помилку в розмірі $1 337 і зазначив, що ймовірність її експлуатації низька, але має значний потенційний вплив.

Основна проблема пов’язана з використанням Google унікального ідентифікатора користувача, відомого як “sub”, у своїй системі OAuth. Цей ідентифікатор має залишатися незмінним і служити ключем для перевірки користувачів. Однак Айрі виявив, що багато сторонніх сервісів не реалізували або не ефективно використовували це поле для запобігання повторному доступу до облікових записів. У своїх тестах усі сервіси, які він перевірив, не змогли заблокувати доступ.

Айрі запропонував додати два нових незмінних ідентифікатори в OpenID Connect: один, пов’язаний із користувачем, і ще один, пов’язаний із доменом. Станом на 14 січня Google ще не відповів на пропозицію про можливі зміни чи прогрес у цьому напрямі.

Ця вразливість особливо тривожна, враховуючи високий рівень банкрутства серед стартапів, які часто використовують Google Workspace та інші SaaS-платформи. За словами Айрі, близько 50% стартапів покладаються на Workspace, і швидкий оборот доменів створює значний пул потенційних цілей.

Хоча тести Айрі в основному стосувалися стартапів, будь-яка організація, яка не закрила облікові записи Google перед продажем домену, може бути вразливою. Попри запевнення Google, що поле sub є надійним захистом, результати дослідження вказують на необхідність покращення безпеки.