Uma vulnerabilidade no recurso de autenticação OAuth da Google, conhecido como "Sign in with Google", pode permitir que atacantes, ao registrar domínios de startups que não existem mais, acessem dados sensíveis de contas de ex-funcionários vinculadas a diversas plataformas de Software como Serviço (SaaS).
A lacuna de segurança foi descoberta pelos pesquisadores da Trufflesecurity e relatada à Google no último ano, em 30 de setembro.
Inicialmente, a Google descartou a descoberta como um problema de "fraude e abuso", e não um problema de OAuth ou login.
No entanto, após Dylan Ayrey, CEO e co-fundador da Trufflesecurity, apresentar o problema na Shmoocon em dezembro passado, a gigante da tecnologia concedeu uma recompensa de $1337 aos pesquisadores e reabriu o ticket.
No momento da publicação, no entanto, o problema permanece sem solução e explorável.
Em uma declaração, um porta-voz da Google disse que a empresa recomenda aos clientes seguir as melhores práticas e "fechar adequadamente os domínios".
"Agradecemos a ajuda de Dylan Ayrey identificando os riscos provenientes dos clientes que esquecem de excluir serviços SaaS de terceiros como parte do encerramento de suas operações", disse um representante da Google.
Em um relatório hoje, Ayrey descreve o problema como: "O login OAuth da Google não protege contra alguém comprando o domínio de uma startup falida e usá-lo para recriar contas de e-mail para ex-funcionários".
Criar e-mails clones não dá aos novos proprietários acesso a comunicações anteriores em plataformas de comunicação, mas as contas podem ser usadas para relogar em serviços como Slack, Notion, Zoom, ChatGPT e várias plataformas de recursos humanos (HR).
O pesquisador demonstrou que, ao comprar um domínio defunto e acessar plataformas SaaS, é possível extrair dados sensíveis de sistemas de HR (documentos fiscais, informações de seguro e números de segurança social) e logar em vários serviços (por exemplo, ChatGPT, Slack, Notion, Zoom).
Ao investigar no banco de dados do Crunchbase por startups agora defuntas com um domínio abandonado, Ayrey descobriu que havia 116.481 domínios disponíveis.
No sistema OAuth da Google, uma reivindicação sub é destinada a fornecer um identificador único e imutável para cada usuário entre logins, pretendido agir como uma referência definitiva para identificar usuários apesar de potenciais mudanças de domínio ou posse de e-mail.
No entanto, como o pesquisador explica, há uma taxa de inconsistência de aproximadamente 0,04% na reivindicação sub, forçando serviços downstream como Slack e Notion a desconsiderá-lo inteiramente e confiar somente na reivindicação de e-mail e domínio hospedado.
A reivindicação de e-mail está vinculada ao endereço de e-mail do usuário e a reivindicação de domínio hospedado está vinculada à posse do domínio, então ambos podem ser herdados por novos proprietários que podem então se passar por ex-funcionários em plataformas SaaS.
Uma solução que os pesquisadores propõem é que a Google introduza identificadores imutáveis, a saber, um ID de usuário único e permanente e um ID de espaço de trabalho único vinculado à organização original.
Os provedores de SaaS também podem implementar medidas adicionais, como cruzar referências de datas de registro de domínio, exigir aprovações em nível de administração para acesso a contas ou usar fatores secundários para verificação de identidade.
Essas medidas, porém, introduzem custos, complicações técnicas e fricção de login.
Além disso, protegeriam clientes antigos, não os atuais pagantes, então o incentivo para implementá-las é baixo.
O problema afeta milhões de pessoas e milhares de empresas e só aumenta com o tempo.
O relatório da Trufflesecurity observa que pode haver milhões de contas de funcionários em startups falidas que têm domínios disponíveis para compra.
Atualmente, há seis milhões de americanos que trabalham em startups de tecnologia, dos quais 90% estão destinados estatisticamente a falir nos próximos anos.
Aproximadamente 50% dessas empresas usam Google Workspaces para e-mail, então seus funcionários fazem login em ferramentas de produtividade usando suas contas do Gmail.
Se você está entre eles, certifique-se de remover dados sensíveis das contas ao deixar uma startup e evitar usar contas de trabalho para registros de contas pessoais para prevenir exposições futuras.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...