Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • La vulnerabilidad de Google OAuth expone a millones a través de dominios de inicio fallidos
  • Tecnología

La vulnerabilidad de Google OAuth expone a millones a través de dominios de inicio fallidos

teknomers 14 de Ocak de 2025 (Last updated: 14 de Ocak de 2025) 4 minutes read
La vulnerabilidad de Google OAuth expone a millones a través


14 de enero de 2025Ravie LakshmananVulnerabilidad / Privacidad de datos

Una nueva investigación ha descubierto una “deficiencia” en el flujo de autenticación “Iniciar sesión con Google” de Google que explota una peculiaridad en la propiedad del dominio para obtener acceso a datos confidenciales.

“El inicio de sesión OAuth de Google no protege contra alguien que compre el dominio de una startup fallida y lo use para recrear cuentas de correo electrónico para ex empleados”, dijo el cofundador y director ejecutivo de Truffle Security, Dylan Ayrey. dicho en un informe del lunes.

“Y aunque no puede acceder a datos de correo electrónico antiguos, puede usar esas cuentas para iniciar sesión en todos los diferentes productos SaaS que utilizó la organización”.

Ciberseguridad

La compañía con sede en San Francisco dijo que el problema tiene el potencial de poner en riesgo los datos de millones de usuarios estadounidenses simplemente comprando un dominio inactivo asociado con una startup fallida y obteniendo acceso no autorizado a cuentas antiguas de empleados relacionadas con varias aplicaciones como OpenAI ChatGPT, Slack. , Notion, Zoom e incluso sistemas de recursos humanos.

“Las cuentas más confidenciales incluían sistemas de recursos humanos, que contenían documentos fiscales, recibos de sueldo, información de seguros, números de seguridad social y más”, dijo Ayrey. “Las plataformas de entrevistas también contenían información confidencial sobre comentarios, ofertas y rechazos de los candidatos”.

OAuth, abreviatura de autorización abierta, se refiere a un estándar abierto para la delegación de acceso, que permite a los usuarios otorgar a sitios web o aplicaciones acceso a su información en otros sitios web sin tener que proporcionar sus contraseñas. Esto se logra haciendo uso de un token de acceso para verificar la identidad del usuario y permitir que el servicio acceda al recurso al que está destinado el token.

Vulnerabilidad de Google OAuth

Cuando se utiliza “Iniciar sesión con Google” para iniciar sesión en una aplicación como Slack, Google envía al servicio un conjunto de afirmaciones sobre el usuario, incluida su dirección de correo electrónico y el dominio alojado, que luego podrían utilizarse para iniciar sesión en sus usuarios. cuentas.

Esto también significa que si un servicio depende únicamente de estos datos para autenticar a los usuarios, también abre la puerta a un escenario en el que los cambios en la propiedad del dominio podrían permitir a un atacante recuperar el acceso a las cuentas antiguas de los empleados.

Truffle también señaló que el token de identificación OAuth de Google incluye un identificador de usuario único: el subreclamo – eso, en teoría, podría prevenir el problema, pero se ha descubierto que no es confiable. Vale la pena señalar que los tokens Entra ID de Microsoft incluyen el reclamaciones sub o oid para almacenar un valor inmutable por usuario.

Ciberseguridad

Si bien Google respondió inicialmente a la divulgación de la vulnerabilidad afirmando que era un comportamiento previsto, desde entonces reabrió el informe de error el 19 de diciembre de 2024, otorgando a Ayrey una recompensa de 1337 dólares. También ha calificado la cuestión como una “metodología de abuso y de alto impacto”.

Mientras tanto, no existen protecciones que los proveedores de software posteriores puedan tomar para protegerse contra la vulnerabilidad en la implementación OAuth de Google. The Hacker News se comunicó con Google para obtener más comentarios y actualizaremos la historia si recibimos una respuesta.

“Como individuo, una vez que te desvinculan de una startup, pierdes tu capacidad de proteger tus datos en estas cuentas y estás sujeto a cualquier destino que le suceda al futuro de la startup y el dominio”, dijo Ayrey. “Sin identificadores inmutables para usuarios y espacios de trabajo, los cambios de propiedad de dominio seguirán comprometiendo las cuentas”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Demacrados buscadores de oro llevan meses atrapados bajo tierra en Sudáfrica: 82 mineros ya han sido rescatados y 36 cadáveres recuperados
Next: El portero del Eintracht Frankfurt, Simoni, probablemente se traslade al 1. FC Kaiserslautern

Related Stories

Canícula: Lidl lanza una venta flash de ventiladores este jueves
  • Tecnología

Canícula: Lidl lanza una venta flash de ventiladores este jueves (y no habrá para todos)

teknomers 2 de Temmuz de 2026
¿Un sentimiento de culpa? Musk reduce los precios de Starlink
  • Tecnología

¿Un sentimiento de culpa? Musk reduce los precios de Starlink para los vecinos de su data center

teknomers 2 de Temmuz de 2026
Puse mi bomba de calor a prueba durante la ola
  • Tecnología

Puse mi bomba de calor a prueba durante la ola de calor, el aire acondicionado no resulta tan caro después de todo

teknomers 1 de Temmuz de 2026

You May Have Missed

  • General

La administración Trump se niega a renovar el acuerdo comercial de América del Norte y comienza un reloj de finalización de 10 años

teknomers 2 de Temmuz de 2026
DIRECTO. Estados Unidos - Bosnia y Herzegovina: en desventaja numérica,
  • Deporte

DIRECTO. Estados Unidos – Bosnia y Herzegovina: en desventaja numérica, Team USA rompe y avanza hacia los octavos.

teknomers 2 de Temmuz de 2026
  • Deporte

Copa Mundial 2026: La notable eliminación de Senegal tras una remontada y controversia

teknomers 2 de Temmuz de 2026
  • Cultura

Isabelle Adjani condenada en apelación a 10 meses de prisión con suspensión de la pena por fraude fiscal agravado y 10,000 euros de multa

teknomers 2 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.