(https://i.postimg.cc/HLmxdsL6/Google.png) (https://postimg.cc/75BDN40z)
Una vulnerabilidad en la función "Iniciar sesión con Google" de OAuth de Google podría permitir a los atacantes que registran dominios de empresas emergentes desaparecidas acceder a datos confidenciales de cuentas de antiguos empleados vinculadas a varias plataformas de software como servicio (SaaS).
La brecha de seguridad fue descubierta por investigadores de Trufflesecurity y reportada a Google el año pasado, el 30 de septiembre.
Google inicialmente descartó el hallazgo como un problema de "fraude y abuso" y no un problema de OAuth o de inicio de sesión. Sin embargo, después de que Dylan Ayrey, CEO y cofundador de Trufflesecurity, presentara el problema en Shmoocon el pasado mes de diciembre, el gigante tecnológico otorgó una recompensa de $1337 a los investigadores y reabrió el ticket.
Sin embargo, en el momento de la publicación, el problema sigue sin solucionarse y es explotable. En una declaración para BleepingComputer, un portavoz de Google dijo que la empresa recomienda a los clientes que sigan las mejores prácticas y "cierren los dominios correctamente".
"Agradecemos la ayuda de Dylan Ayrey para identificar los riesgos que surgen cuando los clientes olvidan eliminar los servicios SaaS de terceros como parte de la cancelación de su operación", dijo un representante de Google.
"Como práctica recomendada, recomendamos a los clientes que cierren los dominios correctamente siguiendo estas instrucciones para que este tipo de problema sea imposible. Además, alentamos a las aplicaciones de terceros a seguir las mejores prácticas mediante el uso de identificadores de cuenta únicos (sub) para mitigar este riesgo", dijo un portavoz de Google.
El problema subyacente
En un informe publicado, Ayrey describe el problema como "el inicio de sesión OAuth de Google no protege contra alguien que compra el dominio de una startup fallida y lo usa para recrear cuentas de correo electrónico para antiguos empleados".
La creación de correos electrónicos clonados no otorga a los nuevos propietarios acceso a comunicaciones anteriores en plataformas de comunicación, pero las cuentas se pueden usar para volver a iniciar sesión en servicios como Slack, Notion, Zoom, ChatGPT y varias plataformas de recursos humanos (RR. HH.).
Cómo acceder a los miembros del espacio de trabajo registrado en Zoom
(https://i.postimg.cc/pdvq45bD/Accessing-registered-workspace.png) (https://postimg.cc/w1WXsvBv)
El investigador demostró que al comprar un dominio obsoleto y acceder a plataformas SaaS, es posible extraer datos confidenciales de los sistemas de RR.HH. (documentos fiscales, información de seguros y números de seguridad social) e iniciar sesión en varios servicios (por ejemplo, ChatGPT, Slack, Notion, Zoom).
Al buscar en la base de datos de Crunchbase startups ahora desaparecidas con un dominio abandonado, Ayrey descubrió que había 116.481 dominios disponibles.
En el sistema OAuth de Google, una subdemanda tiene como objetivo proporcionar un identificador único e inmutable para cada usuario en todos los inicios de sesión, con la intención de actuar como una referencia definitiva para identificar a los usuarios a pesar de los posibles cambios de propiedad del dominio o del correo electrónico.
Sin embargo, como explica el investigador, hay una tasa de inconsistencia de aproximadamente el 0,04 % en la subdemanda, lo que obliga a los servicios posteriores como Slack y Notion a ignorarla por completo y confiar únicamente en las reclamaciones de correo electrónico y dominio alojado.
La reclamación por correo electrónico está vinculada a la dirección de correo electrónico del usuario y la reclamación por dominio alojado está vinculada a la propiedad del dominio, por lo que ambos pueden ser heredados por nuevos propietarios que luego pueden hacerse pasar por antiguos empleados en plataformas SaaS.
Una solución que proponen los investigadores es que Google introduzca identificadores inmutables, es decir, un ID de usuario único y permanente y un ID de espacio de trabajo único vinculado a la organización original.
Los proveedores de SaaS también pueden implementar medidas adicionales como referencias cruzadas de las fechas de registro de dominio, hacer cumplir las aprobaciones de nivel de administrador para el acceso a la cuenta o usar factores secundarios para la verificación de identidad.
Sin embargo, esas medidas introducen costos, complicaciones técnicas y fricción en el inicio de sesión. Además, protegerían a los antiguos clientes que actualmente no pagan, por lo que el incentivo para implementarlas es bajo.
Un riesgo en constante crecimiento
El problema afecta a millones de personas y miles de empresas, y no hace más que crecer con el tiempo.
El informe de Trufflesecurity señala que puede haber millones de cuentas de empleados en empresas emergentes que fracasaron y que tienen dominios disponibles para su compra.
Actualmente, hay seis millones de estadounidenses que trabajan para empresas emergentes de tecnología, de las cuales el 90 % está destinado estadísticamente a desaparecer en los próximos años.
Aproximadamente el 50 % de esas empresas utilizan Google Workspaces para el correo electrónico, por lo que sus empleados inician sesión en las herramientas de productividad con sus cuentas de Gmail.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/google-oauth-flaw-lets-attackers-gain-access-to-abandoned-accounts/