💳 Потрібна європейська картка з лімітом 50к євро? Встановлюй Trustee Plus 👉
Олександр КузьменкоТаке життя
16 січня 2025, 17:59
2025-01-16
Дослідник попереджає, що неправильне закриття домену стартапу в Google Apps може призвести до витоку даних
Дослідник кібербезпеки Ділан Ейрі (Dylan Ayrey) з компанії Truffle Security Co опублікував звіт в якому вказує, що багато стартапів використовують набір інструментів Google для роботи з електронною поштою, документами та іншими офісними справами, а також систему автентифікації OAuth («Увійдіть через Google»). Після закриття проєкту деякі початковіці нехтують правилами кібербезпеки і можуть втратити свої конфіденційні дані.
Дослідник кібербезпеки Ділан Ейрі (Dylan Ayrey) з компанії Truffle Security Co опублікував звіт в якому вказує, що багато стартапів використовують набір інструментів Google для роботи з електронною поштою, документами та іншими офісними справами, а також систему автентифікації OAuth («Увійдіть через Google»). Після закриття проєкту деякі початковіці нехтують правилами кібербезпеки і можуть втратити свої конфіденційні дані.
Дослідник припускає, що ця проблема є більш серйозною, ніж будь-хто, особливо Google, визнає. Багато стартапів допускають критичну помилку, не закриваючи належним чином свої акаунти — як в Google, так і в інших вебдодатках — до закінчення терміну дії своїх доменів. Про це пише Ars Technica.
На його думку, враховуючи 6 млн людей, які працюють у технологічних стартапах, 90% рівень невдач цих стартапів і те, що 50% з них користуються Google Workspaces, а також швидкість, з якою стартапи закриваються, можна припустити, що в будь-який момент на продаж може бути виставлено чимало доменів, підключених до Google. Це не було б проблемою, якби купівля домену з активним обліковим записом Google не давала можливість повторно активувати акаунти Google для колишніх співробітників.
Маючи доступ адміністратора до цих акаунтів, користувач може отримати доступ до багатьох сервісів, для входу в які вони використовували OAuth Google, таких як Slack, ChatGPT, Zoom та HR-системи. Айрі пише, що він купив покинутий домен стартапу й отримав доступ до кожного з них за допомогою входу в обліковий запис Google. В результаті він отримав податкові документи, дані про співбесіди та прямі повідомлення, а також інші конфіденційні матеріали.
«Ми вдячні Ділану Ейрі за допомогу у виявленні ризиків, що виникають через те, що клієнти забувають видалити сторонні SaaS-сервіси в рамках припинення своєї діяльності. Як найкращу практику, ми рекомендуємо клієнтам належним чином закривати домени, дотримуючись цих інструкцій, щоб унеможливити подібні проблеми. Крім того, ми закликаємо сторонні додатки дотримуватися найкращих практик, використовуючи унікальні ідентифікатори облікових записів (sub), щоб зменшити цей ризик», — прокоментували звіт дослідника в Google.
Айрі зазначив, що показав його Google 30 вересня 2024 року. Google відповів 2 жовтня, що «прийняв рішення не відстежувати його як помилку зловживання» і встановив статус «Не буде виправлено (передбачувана поведінка)». Представник Google написав, що початкова реакція компанії ґрунтувалася на «сильному і належному захисті», який вже існував.
Через десять днів після того, як доповідь Айрі на цю тему була озвучена на хакерській конференції Shmoocon, Google знову відкрив питання і виплатив йому винагороду в розмірі $1337. Тоді в компанії заявили, що тепер «ймовірність експлойту низька».
В інструкціях із закриття домену та документації до API Google вказує на унікальний ідентифікатор користувача «sub» як на значення, яке «ніколи не змінюється» і яке слід використовувати як ключ для ідентифікації користувача. У дописі Айрі цитує неназваного штатного інженера великої технологічної компанії, який не погоджується з цим твердженням, припускаючи, що значення sub змінюється «приблизно в 0,04% входів» за допомогою Google OAuth. При певних розмірах аудиторії це можуть бути сотні входів щотижня. Зіткнувшись з такою проблемою, великі сервіси, ймовірно, не використовують «sub» для перевірки унікальних користувачів, припускає Айрі.
Представник Google заявив, що компанія «із задоволенням вивчить будь-які матеріали з цього приводу», але не побачила «жодних доказів на підтримку твердження, що поле sub не є незмінним і унікальним ідентифікатором». Google також оновив свою документацію для розробників OAuth, щоб ще більше підкреслити використання «sub» в якості захисту.
Рішення Айрі, яке він запропонував Google, полягає в тому, щоб включити два нових незмінних ідентифікатори у свої заяви OpenID Connect: один, прив’язаний до користувача, який ніколи не змінюється, і один, прив’язаний до домену. Поки в компанії не відреагували на цю пропозицію.
Вас також кусають комарі? Розповідаємо про пристрій від українських стартаперів, який може цьому зарадити
Як зауважив нещодавно один військовий, якой побажав залишитись невідомим, орки, може, й не поцілять, а комарі точно зʼїдять. І від них потерпають зараз багато українців.
Позбавитись від комарів назавжди ефективно й екологічно допоможе гаджет Mosqitter. Цей стартап заснували дві українки — Анастасія Романова та Ольга Дьячук.
Ми вирішили нагадати, що може Mosqitter, про принципи його роботи та особливості, на злобу дня.
(текст від 21 жовтня 2021 року)
Як ламають відео-ігри та викладають їхні піратські копії? Розповідає програміст
Що, юний хакер, тобі цікаво, які ігри ще досі не крякнули? Тоді мерщій читай цю статтю. Нижче ми розглянемо, які технології використовуються для захисту ігор від злому. Також не пройдемо повз рекордсменів. Дізнаємося про рекордний час, за який вдалося зламати гру. Та розглянемо справжніх «міцних горішків».