Uma nova pesquisa destaca uma vulnerabilidade no método de autenticação “Sign in with Google” do Google, que permite acesso não autorizado a dados confidenciais através da exploração de domínios de startups abandonados, representando um risco potencial para milhões de usuários americanos.
Nova pesquisa revela vulnerabilidade no método de autenticação do Google
Dylan Ayrey, cofundador e CEO da Truffle Security, revelado que o login OAuth do Google não protege contra alguém que compra o domínio de uma startup com falha e recria contas de e-mail para ex-funcionários. Embora isso não conceda acesso a dados de e-mail antigos, permite que invasores façam login em vários produtos de software como serviço (SaaS) usados pela organização.
A pesquisa indica que obter acesso por meio dessas contas pode comprometer usuários em plataformas como OpenAI ChatGPT, Slack, Notion, Zoom e diversos sistemas de recursos humanos (RH). Dados confidenciais, incluindo documentos fiscais, recibos de pagamento, informações de seguros e números de previdência social, podem ser expostos. As plataformas de entrevista também podem conter informações privadas sobre feedback de candidatos e decisões de contratação.
Não ignore: a atualização de segurança cibernética da Adobe pode salvar seus dados
OAuth, ou autorização aberta, é um padrão que permite aos usuários conceder aos aplicativos acesso aos seus dados sem compartilhar senhas. Ao fazer login em aplicativos usando “Fazer login com o Google”, o Google fornece declarações sobre o usuário, incluindo endereço de e-mail e domínio hospedado. Se a autenticação depender exclusivamente destes elementos, aumenta o risco de acesso não autorizado após uma mudança de propriedade do domínio.
O problema foi documentado por pesquisadores da Truffle Security e relatado ao Google em 30 de setembro de 2024. O Google inicialmente classificou a descoberta como um problema de fraude e abuso, em vez de uma falha no OAuth. Após a apresentação das descobertas por Ayrey em Shmoocon em dezembro, o Google reabriu o tíquete e concedeu a Ayrey uma recompensa de US$ 1.337. No entanto, a vulnerabilidade permanece sem solução e explorável.
O token OAuth ID do Google inclui um identificador de usuário exclusivo denominado “sub-reivindicação”, que teoricamente deveria evitar tais problemas. No entanto, inconsistências – cerca de 0,04% – na confiabilidade das subdeclarações obrigam serviços como Slack e Notion a confiar apenas em declarações de e-mail e domínio, que podem ser herdadas por novos proprietários de domínio, permitindo a representação de ex-funcionários.
Ayrey descobriu 116.481 domínios abandonados ao verificar o banco de dados Crunchbase. Ele defende a introdução de identificadores imutáveis pelo Google para fortalecer a segurança da conta. Além disso, os provedores de SaaS poderiam impor medidas como referência cruzada de datas de registro de domínio ou exigir permissões de administrador para acesso à conta para aumentar a segurança.
No entanto, a implementação destas medidas de segurança pode implicar custos operacionais, desafios técnicos e atritos entre os utilizadores, levando a um incentivo mínimo para a adoção. O risco continua a expandir-se, potencialmente impactando milhões de contas de funcionários em startups, especialmente porque estatisticamente se espera que 90% das startups de tecnologia se tornem extintas.
Atualmente, cerca de seis milhões de americanos trabalham em startups de tecnologia, com cerca de 50% usando o Google Workspaces para e-mail, o que implica que muitos usuários fazem login em ferramentas de produtividade usando suas contas do Google. Ex-funcionários são aconselhado remover informações confidenciais de contas antes de deixar essas organizações, evitando o uso de contas de trabalho para registros pessoais para mitigar futuras exposições de segurança.
Crédito da imagem em destaque: Google
