Yeni araştırma, Google’ın “Google ile Oturum Açma” kimlik doğrulama akışındaki, hassas verilere erişim sağlamak için alan adı sahipliğindeki tuhaflıktan yararlanan bir “eksikliğin” perdesini geri çekti.
Truffle Security kurucu ortağı ve CEO’su Dylan Ayrey, “Google’ın OAuth girişi, birinin başarısız bir girişimin alan adını satın almasına ve bunu eski çalışanlar için e-posta hesaplarını yeniden oluşturmak için kullanmasına karşı koruma sağlamaz.” söz konusu Pazartesi raporunda.
“Eski e-posta verilerine erişemeseniz de bu hesapları, kuruluşun kullandığı tüm farklı SaaS ürünlerine giriş yapmak için kullanabilirsiniz.”
San Francisco merkezli şirket, sorunun, başarısız bir girişimle ilişkili geçersiz bir alan adı satın alarak ve OpenAI ChatGPT, Slack gibi çeşitli uygulamalarla ilgili eski çalışan hesaplarına yetkisiz erişim sağlayarak milyonlarca Amerikalı kullanıcının verilerini riske atma potansiyeline sahip olduğunu söyledi. , Notion, Zoom ve hatta İK sistemleri.
Ayrey, “En hassas hesaplar vergi belgelerini, maaş bordrolarını, sigorta bilgilerini, sosyal güvenlik numaralarını ve daha fazlasını içeren İK sistemlerini içeriyordu” dedi. “Görüşme platformları ayrıca aday geri bildirimleri, teklifler ve reddedilmeler hakkında hassas bilgiler içeriyordu.”
Açık yetkilendirmenin kısaltması olan OAuth, erişim yetkisi için açık bir standardı ifade eder ve kullanıcıların web sitelerine veya uygulamalara, şifrelerini vermek zorunda kalmadan diğer web sitelerindeki bilgilerine erişmesine olanak tanır. Bu, kullanıcının kimliğini doğrulamak ve hizmetin belirtecin amaçlandığı kaynağa erişmesine izin vermek için bir erişim belirteci kullanılarak gerçekleştirilir.
Slack gibi bir uygulamada oturum açmak için “Google ile Oturum Aç” kullanıldığında Google, hizmete kullanıcı hakkında e-posta adresi ve barındırılan alan adı da dahil olmak üzere bir dizi talep gönderir ve bunlar daha sonra kullanıcıların kendi uygulamalarına giriş yapması için kullanılabilir. hesaplar.
Bu aynı zamanda, bir hizmetin kullanıcıların kimliğini doğrulamak için yalnızca bu bilgilere dayanması durumunda, etki alanı sahipliği değişikliklerinin bir saldırganın eski çalışan hesaplarına yeniden erişmesine olanak tanıyabileceği bir senaryonun kapısını da açacağı anlamına gelir.
Truffle ayrıca Google’ın OAuth ID belirtecinin benzersiz bir kullanıcı tanımlayıcı içerdiğine de dikkat çekti. alt talep – bu teorik olarak sorunu önleyebilir, ancak bunun güvenilmez olduğu bulunmuştur. Microsoft’un Entra ID belirteçlerinin şunları içerdiğini belirtmekte fayda var: alt veya oid iddiaları Kullanıcı başına değişmez bir değer depolamak için.
Google, güvenlik açığının açıklanmasına başlangıçta bunun amaçlanan bir davranış olduğunu belirterek yanıt verdi, ancak daha sonra 19 Aralık 2024 itibarıyla hata raporunu yeniden açarak Ayrey’e 1.337 ABD doları tutarında ödül verdi. Aynı zamanda konuyu “yüksek etkili, kötüye kullanımla ilgili bir metodoloji” olarak nitelendirdi.
Bu arada, alt yazılım sağlayıcılarının Google’ın OAuth uygulamasındaki güvenlik açığına karşı koruma sağlamak için alabilecekleri herhangi bir koruma bulunmamaktadır. Hacker News daha fazla yorum almak için Google’a ulaştı ve geri dönüş alırsak hikayeyi güncelleyeceğiz.
Ayrey, “Birey olarak, bir startup’tan çıkarıldığınızda, bu hesaplardaki verilerinizi koruma yeteneğinizi kaybedersiniz ve startup’ın ve alan adının geleceğinin başına gelecek her türlü kadere tabi olursunuz” dedi. “Kullanıcılar ve çalışma alanları için değişmez tanımlayıcılar olmadığında, alan adı sahipliği değişiklikleri hesapların güvenliğini tehlikeye atmaya devam edecektir.”
