Kyberbezpečnostní experti objevili chybu v protokolu OAuth společnosti Google. Ta by mohla útočníkům umožnit přístup k potenciálně citlivým datům z bývalých zaměstnaneckých účtů u zaniklých startupů.
OAuth je přihlašovací technologie Googlu, která vám umožňuje přistupovat k mnoha platformám a službám pomocí vašeho účtu Google. Když použijete možnost Přihlásit se přes Google, používáte OAuth. Tato technologie má také velké zastoupení ve firemní sféře. Zaměstnanci používají OAuth nejen k přístupu k sadě Workspace, ale také k externím platformám prostřednictvím modelu SaaS (software-as-a-service).
Fotogalerie
Je možné, že máte více než jeden účet Google a u některých si ani nepamatujete přihlašovací údaje. Takže váš ztracený účet je ponechán v „limbu“, kde k němu z toho či onoho důvodu nemáte přístup. Otázka vedení „zombie účtů“ je však v byznysovém prostředí choulostivější. Tyto účty jsou často spojeny se službami třetích stran s potenciálně citlivými údaji od bývalých zaměstnanců nebo společností, pro které pracovali.
Koncem září loňského roku objevil kyberbezpečnostní tým Trufflesecurity v protokolu OAuth chybu, kterou by mohli zneužít útočníci. V té době ji Google neoznačil za zranitelnost, ale za „podvod a zneužití“. Poté, co ji v „plné nahotě“ na konferenci etických hackerů Shmoocon minulý měsíc odhalil šéf společnosti Trufflesecurity Dylan Ayrey, změnil Google názor a vypsal výzkumníkům odměnu ve výši 1 337 dolarů.
Mohlo by vás zajímat
Ayrey ukázal, jak se mu podařilo dostat se z HR systémů k důvěrným datům neúspěšného startupu. Jen si musel koupit zastaralou doménu a použít starší přihlašovací údaje OAuth. Potenciální útočníci by se podle něj mohli začít zaměřovat na domény související se zaniklými startupy s cílem je koupit a zranitelnost zneužít. Databáze zaniklých startupů, kterou vede společnost Crunchbase, uvádí aktuálně 116 481 dostupných domén. To znamená, že by zde potenciálně mohly existovat miliony bývalých zaměstnaneckých účtů připravených ke zneužití.
Abyste předešli problémům spojeným s protokolem OAuth, měli byste se podle Trufflesecurity vyhnout používání přihlašovacích údajů vaší společnosti na osobních účtech. To by mohlo útočníkům otevřít dveře k tomu, aby je v budoucnu ukradli. Pokud změníte zaměstnání, měli byste samozřejmě ze svého firemního účtu odstranit veškerá citlivá data.
