2025-1-15 13:15:30 Author: www.securityinfo.it(查看原文) 阅读量:0 收藏
Milioni di account Google “defunti” sono vulnerabili a un bug di OAuth
Gen 15, 2025 In evidenza, Minacce, News, RSS, Vulnerabilità
Un bug presente nel flusso di autenticazione degli account Google sta mettendo a rischio i dati di milioni di vecchi account. A dirlo è un ricercatori di Truffle Security: in un post sul blog della firma di sicurezza, il ricercatore ha specificato che un attaccante può acquistare vecchi domini aziendali inutilizzati per accedere ai servizi usati nell’organizzazione.
Di fatto un cybercriminale può reclamare gli account Google di ex dipendenti di una compagnia e, anche se non può accedere alle vecchie email, può comunque sfruttarli per accedere ai servizi dell’azienda e quindi ai dati condivisi su di essi, anche quelli sensibili.
Dylan Ayrey, il ricercatore che ha individuato il bug, ha acquistato uno di questi account ed è riuscito a effettuare il login su servizi quali ChatGPT, Slack, Notion, Zoom e il sistema gestionale delle risorse umane. Ayrey è riuscito così a entrare in possesso dei Social Security Number dei dipendenti, a documenti finanziari, a informazioni assicurative, alle buste paga e a molti altri dati sensibili.
La vulnerabilità sta nel fatto che nel sistema di autenticazione OAuth di Google vengono usati dei “claim”, informazioni sull’utente che vengono inviate ai servizi in uso. I servizi usano queste informazioni per determinare se un utente può accedere; tra i dati condivisi ci sono anche “hd claim”, usato per indicare il dominio dell’azienda, e “email claim”, legato invece all’indirizzo email specifico dell’utente.
I provider di servizi solitamente usano questi due “claim” per determinare se un dato utente può accedere in un determinato workspace aziendale. Sfruttando queste due informazioni, i servizi non riescono a distinguere tra vecchi e nuovi proprietari, permettendo a questi ultimi di accedere agli account di vecchi dipendenti.
“Quando qualcuno acquista il dominio di un’azienda defunta, eredita le stesse rivendicazioni, garantendo l’accesso ai vecchi account dei dipendenti“ sottolinea Ayrey. Il ricercatore ha individuato tale “sub claim”, un identificatore univoco dell’utente che, almeno teoricamente, potrebbe prevenire il problema degli accessi ai vecchi account; nella pratica, però, non è una strada percorribile: questo “claim” non è consistente in quanto ha un tasso di errore dello 0,04%, casi in cui non rimane lo stesso per l’utente. I provider sono quindi costretti a basarsi su altri metodi di identificazione, solitamente i già citati hd ed email.
L’impatto del bug di Google
L’impatto della vulnerabilità è significativo: solo prendendo in esame le startup tech americane, considerate le realtà più a rischio di chiusura, Ayrey riporta che ci sono 6 milioni di dipendenti che lavorano per queste realtà; considerando, afferma il ricercatore, che in media il 90% di queste startup fallisce e che il 50% di esse usa Google per gli account email, i cybercriminali hanno grande spazio di manovra.
Nel dettaglio, Ayrey ha usato il dataset di Crunchbase sulle startup e ha trovato più di 100.000 domini disponibili per l’acquisto dopo il fallimento delle compagnie. “Se ogni startup che ha fallite ha avuto in media 10 dipendenti nel corso del tempo e usato 10 diversi servizi SaaS, parliamo dell’accesso ai dati sensibili di oltre 10 milioni di account” ha spiegato il ricercatore.
Ayrey ha aperto un ticket a Google segnalando il problema e condividendo un Proof-of-Concept, includendo nella descrizione anche due diversi modi per risolvere il bug. Inizialmente la compagnia ha chiuso il ticket specificando che il comportamento di OAuth era quello previsto e che quindi non avrebbe risolto il problema; tre mesi dopo la segnalazione, Google è tornata sui suoi passi e, dopo aver pagato una ricompensa al ricercatore, ha dichiarato di aver iniziato a lavorare un fix. A distanza di quasi un mese dall’ultima risposta, non ci sono aggiornamenti sulla risoluzione del bug.
Al momento né i fornitori di servizi SaaS né le compagnie a rischio possono fare qualcosa per risolvere definitivamente il problema. I provider possono solo implementare misure di protezione aggiuntive controllando la data di registrazione dei nuovi (vecchi) domini e introdurre l’approvazione degli amministratori per gli accessi , ma queste misure introducono costi e difficoltà che non tutti i fornitori riescono ad affrontare. “L’eventuale ripresa del problema da parte di Google è promettente, ma fino a quando non verrà implementata una soluzione, i dati e gli account di milioni di americani rimarranno vulnerabili“.
Altro in questa categoria
如有侵权请联系:admin#unsafe.sh