Çalıştığınız girişim çöktüğünde işinizi kaybetmek yeterince kötü değilmiş gibi, şimdi bir güvenlik araştırmacısı başarısız girişimlerdeki çalışanların verilerinin çalınması konusunda özellikle risk altında olduğunu buldu. Bu, özel Slack mesajlarından Sosyal Güvenlik numaralarına ve potansiyel olarak banka hesaplarına kadar uzanır.
Sorunu keşfeden araştırmacı, Andreessen Horowitz destekli startup Truffle Security’nin kurucu ortağı ve CEO’su Dylan Ayrey oldu. Ayrey, kötü adamların kimlik giriş araçları (yani API anahtarları, şifreler ve belirteçler) ele geçirmesi durumunda veri sızıntılarının izlenmesine yardımcı olan popüler açık kaynak projesi TruffleHog’un yaratıcısı olarak biliniyor.
Ayrey aynı zamanda böcek avcılığı dünyasında da yükselen bir yıldız. Geçen hafta saat güvenlik konferansı ShmooConinsanların şifre yerine kullanabileceği “Google ile Oturum Açma” teknolojisinin arkasındaki teknoloji olan Google OAuth’ta bulduğu bir kusur hakkında bir konuşma yaptı.
Ayrey, güvenlik açığını Google’a ve etkilenebilecek diğer şirketlere bildirdikten sonra konuşmasını yaptı ve Google’ın hata avcılarının bulguları hakkında konuşmasını yasaklamaması nedeniyle ayrıntılarını paylaşabildi. (Örneğin, Google’ın on yıllık Project Zero’su, Microsoft Windows gibi diğer teknoloji devlerinin ürünlerinde bulduğu kusurları sıklıkla sergiliyor.)
Kötü niyetli bilgisayar korsanlarının başarısız bir girişimin geçersiz etki alanlarını satın alması durumunda, bunları şirketteki her çalışanın şirket sohbeti veya video uygulaması gibi erişime sahip olmasına izin verecek şekilde yapılandırılmış bulut yazılımında oturum açmak için kullanabileceğini keşfetti. Buradan, bu uygulamaların çoğu, bilgisayar korsanının eski çalışanların gerçek e-postalarını keşfedebileceği şirket dizinleri veya kullanıcı bilgi sayfaları sunar.
Alan adı ve bu e-postalarla donanmış olan bilgisayar korsanları, startup’ın bulut yazılım uygulamalarının çoğuna erişmek için “Google ile Oturum Aç” seçeneğini kullanabilir ve genellikle daha fazla çalışan e-postası bulabilir.
Ayrey, bulduğu kusuru test etmek için başarısız bir girişimin alan adını satın aldı ve buradan ChatGPT, Slack, Notion, Zoom’a ve Sosyal Güvenlik numaralarını içeren bir İK sistemine giriş yapabildi.
Ayrey, TechCrunch’a “Muhtemelen en büyük tehdit bu” dedi, çünkü bulut İK sisteminden gelen veriler “para kazanmaları en kolay olanı ve Sosyal Güvenlik numaraları, bankacılık bilgileri ve İK sistemlerinde bulunan diğer her şey muhtemelen oldukça muhtemel” “hedef alınacak. Çalışanlar tarafından oluşturulan eski Gmail hesaplarının veya Google Dokümanlarının veya Google uygulamalarıyla oluşturulan verilerin risk altında olmadığını söyledi ve Google da bunu doğruladı.
Alan adı satışına sahip başarısız bir şirket tuzağa düşebilirken, startup çalışanları özellikle savunmasızdır çünkü startup’lar işlerini yürütmek için Google’ın uygulamalarını ve birçok bulut yazılımını kullanma eğilimindedir.
Ayrey, milyonlarca SaaS yazılım hesabının yanı sıra on binlerce eski çalışanın da risk altında olduğunu hesaplıyor. Bu, başarısız teknoloji girişimlerinden şu anda satışa sunulan 116.000 web sitesi alan adının bulunduğu araştırmasına dayanıyor.
Önleme mevcut ancak mükemmel değil
Google’ın aslında OAuth yapılandırmasında, SaaS bulut sağlayıcısı bunu kullanıyorsa Ayrey’in belirttiği riskleri önleyecek bir teknolojisi var. Her Google hesabına özgü bir sayı dizisi olan buna “alt tanımlayıcı” adı verilir. Bir çalışanın iş Google hesabına birden fazla e-posta adresi eklenmiş olsa da, hesabın yalnızca bir alt tanımlayıcısı olmalıdır.
Yapılandırılırsa, çalışan OAuth kullanarak bir bulut yazılımı hesabına giriş yaptığında Google, kişiyi tanımlamak için hem e-posta adresini hem de alt tanımlayıcıyı gönderir. Bu nedenle, kötü niyetli bilgisayar korsanları, alan adının kontrolü altında e-posta adreslerini yeniden oluştursalar bile bu tanımlayıcıları yeniden oluşturamamaları gerekir.
Ancak etkilenen bir SaaS İK sağlayıcısıyla çalışan Ayrey, kendi ifadesiyle bu tanımlayıcının “güvenilmez” olduğunu keşfetti; bu, İK sağlayıcısının vakaların çok küçük bir yüzdesinde (%0,04) değiştiğini tespit ettiği anlamına geliyor. Bu istatistiksel olarak sıfıra yakın olabilir, ancak çok sayıda günlük kullanıcıyla ilgilenen bir İK sağlayıcısı için bu, her hafta yüzlerce başarısız oturum açma anlamına gelir ve insanları hesaplarından kilitler. Ayrey, bu bulut sağlayıcısının Google’ın alt tanımlayıcısını bu nedenle kullanmak istemediğini söyledi.
Google, alt tanımlayıcının değişebileceğine itiraz ediyor. Bu bulgu araştırmacıdan değil İK bulut sağlayıcısından geldiğinden, hata raporunun bir parçası olarak Google’a gönderilmedi. Google, alt tanımlayıcının güvenilmez olduğuna dair bir kanıt görmesi durumunda şirketin bu konuyla ilgileneceğini söylüyor.
Google fikrini değiştirdi
Ancak Google aynı zamanda bu konunun ne kadar önemli olduğu konusunda da ters döndü. İlk başta Google, Ayrey’in hatasını tamamen reddetti ve hemen bildirimi kapattı ve bunun bir hata değil “dolandırıcılık” sorunu olduğunu söyledi. Google tamamen yanılmadı. Bu risk, bilgisayar korsanlarının etki alanlarını kontrol etmesinden ve onlar aracılığıyla yeniden oluşturdukları e-posta hesaplarını kötüye kullanmalarından kaynaklanmaktadır. Ayrey, Google’ın ilk kararına kin duymadı ve bunu, kullanıcılara zarar gelse bile Google’ın OAuth yazılımının amaçlandığı gibi çalıştığı bir veri gizliliği sorunu olarak nitelendirdi. “Bu o kadar kesin ve kuru bir şey değil” dedi.
Ancak üç ay sonra, konuşması ShmooCon tarafından kabul edildikten hemen sonra Google fikrini değiştirdi, bileti yeniden açtı ve Ayrey’e 1.337 dolar ödül ödedi. Benzer bir şey, 2021’de Black Hat siber güvenlik konferansında bulguları hakkında son derece popüler bir konuşma yaptıktan sonra Google’ın biletini yeniden açtığında başına geldi. Google, yıllık güvenlik araştırmacısında Ayrey ve hata bulma ortağı Allison Donovan’a üçüncü ödül bile verdi. ödüller (73.331 $ ile birlikte).
Google henüz kusur için teknik bir düzeltme yayınlamadı ya da bunun ne zaman olabileceğine dair bir zaman çizelgesi yayınlamadı ve Google’ın bu sorunu bir şekilde çözmek için teknik bir değişiklik yapıp yapmayacağı da belli değil. Ancak şirket, bilgilerini güncelledi. dokümantasyon Bulut sağlayıcılarına alt tanımlayıcıyı kullanmalarını söylemek için. Google ayrıca şunları sunuyor: talimatlar kuruculara şirketlerin Google Workspace’i düzgün bir şekilde nasıl kapatmaları ve sorunu nasıl önlemeleri gerektiği konusunda.
Google, sonuçta, çözümün kurucuların tüm bulut hizmetlerini düzgün bir şekilde kapattıklarından emin olmak için bir şirketi kapatmaları olduğunu söylüyor. Sözcü, “Dylan Ayrey’in, müşterilerin operasyonlarını geri çevirmenin bir parçası olarak üçüncü taraf SaaS hizmetlerini silmeyi unutmasından kaynaklanan riskleri belirleme konusundaki yardımını takdir ediyoruz” dedi.
Kendisi de bir kurucu olan Ayrey, birçok kurucunun neden bulut hizmetlerinin devre dışı bırakılmasını sağlamadığını anlıyor. Bir şirketin kapatılması aslında duygusal açıdan acı verici olabilecek bir dönemde gerçekleştirilen, çalışanların bilgisayarlarının elden çıkarılmasından banka hesaplarının kapatılmasına ve vergi ödemeye kadar pek çok öğeyi içeren karmaşık bir süreçtir.
Ayrey, “Kurucunun şirketi kapatma işiyle uğraşması gerektiğinde muhtemelen düşünmesi gereken her şeyi düşünecek kadar kafası yerinde değil” diyor.
