
Una nueva investigación ha descubierto una “deficiencia” en el flujo de autenticación “Iniciar sesión con Google” de Google que explota una peculiaridad en la propiedad del dominio para obtener acceso a datos confidenciales.
“El inicio de sesión OAuth de Google no protege contra alguien que compre el dominio de una startup fallida y lo use para recrear cuentas de correo electrónico para ex empleados”, dijo el cofundador y director ejecutivo de Truffle Security, Dylan Ayrey. dicho en un informe del lunes.
“Y aunque no puede acceder a datos de correo electrónico antiguos, puede usar esas cuentas para iniciar sesión en todos los diferentes productos SaaS que utilizó la organización”.
La compañía con sede en San Francisco dijo que el problema tiene el potencial de poner en riesgo los datos de millones de usuarios estadounidenses simplemente comprando un dominio inactivo asociado con una startup fallida y obteniendo acceso no autorizado a cuentas antiguas de empleados relacionadas con varias aplicaciones como OpenAI ChatGPT, Slack. , Notion, Zoom e incluso sistemas de recursos humanos.
“Las cuentas más confidenciales incluían sistemas de recursos humanos, que contenían documentos fiscales, recibos de sueldo, información de seguros, números de seguridad social y más”, dijo Ayrey. “Las plataformas de entrevistas también contenían información confidencial sobre comentarios, ofertas y rechazos de los candidatos”.
OAuth, abreviatura de autorización abierta, se refiere a un estándar abierto para la delegación de acceso, que permite a los usuarios otorgar a sitios web o aplicaciones acceso a su información en otros sitios web sin tener que proporcionar sus contraseñas. Esto se logra haciendo uso de un token de acceso para verificar la identidad del usuario y permitir que el servicio acceda al recurso al que está destinado el token.
Cuando se utiliza “Iniciar sesión con Google” para iniciar sesión en una aplicación como Slack, Google envía al servicio un conjunto de afirmaciones sobre el usuario, incluida su dirección de correo electrónico y el dominio alojado, que luego podrían utilizarse para iniciar sesión en sus usuarios. cuentas.
Esto también significa que si un servicio depende únicamente de estos datos para autenticar a los usuarios, también abre la puerta a un escenario en el que los cambios en la propiedad del dominio podrían permitir a un atacante recuperar el acceso a las cuentas antiguas de los empleados.
Truffle también señaló que el token de identificación OAuth de Google incluye un identificador de usuario único: el subreclamo – eso, en teoría, podría prevenir el problema, pero se ha descubierto que no es confiable. Vale la pena señalar que los tokens Entra ID de Microsoft incluyen el reclamaciones sub o oid para almacenar un valor inmutable por usuario.
Si bien Google respondió inicialmente a la divulgación de la vulnerabilidad afirmando que era un comportamiento previsto, desde entonces reabrió el informe de error el 19 de diciembre de 2024, otorgando a Ayrey una recompensa de 1337 dólares. También ha calificado la cuestión como una “metodología de abuso y de alto impacto”.
Mientras tanto, no existen protecciones que los proveedores de software posteriores puedan tomar para protegerse contra la vulnerabilidad en la implementación OAuth de Google. The Hacker News se comunicó con Google para obtener más comentarios y actualizaremos la historia si recibimos una respuesta.
“Como individuo, una vez que te desvinculan de una startup, pierdes tu capacidad de proteger tus datos en estas cuentas y estás sujeto a cualquier destino que le suceda al futuro de la startup y el dominio”, dijo Ayrey. “Sin identificadores inmutables para usuarios y espacios de trabajo, los cambios de propiedad de dominio seguirán comprometiendo las cuentas”.







