💳 Потрібна європейська картка з лімітом 50к євро? Встановлюй Trustee Plus 👉

Дослідник попереджає, що неправильне закриття домену стартапу в Google Apps може призвести до витоку даних

Дослідник кібербезпеки Ділан Ейрі (Dylan Ayrey) з компанії Truffle Security Co опублікував звіт в якому вказує, що багато стартапів використовують набір інструментів Google для роботи з електронною поштою, документами та іншими офісними справами, а також систему автентифікації OAuth («Увійдіть через Google»). Після закриття проєкту деякі початковіці нехтують правилами кібербезпеки і можуть втратити свої конфіденційні дані.

Залишити коментар
Дослідник попереджає, що неправильне закриття домену стартапу в Google Apps може призвести до витоку даних

Дослідник кібербезпеки Ділан Ейрі (Dylan Ayrey) з компанії Truffle Security Co опублікував звіт в якому вказує, що багато стартапів використовують набір інструментів Google для роботи з електронною поштою, документами та іншими офісними справами, а також систему автентифікації OAuth («Увійдіть через Google»). Після закриття проєкту деякі початковіці нехтують правилами кібербезпеки і можуть втратити свої конфіденційні дані.

Дослідник припускає, що ця проблема є більш серйозною, ніж будь-хто, особливо Google, визнає. Багато стартапів допускають критичну помилку, не закриваючи належним чином свої акаунти — як в Google, так і в інших вебдодатках — до закінчення терміну дії своїх доменів. Про це пише Ars Technica.

На його думку, враховуючи 6 млн людей, які працюють у технологічних стартапах, 90% рівень невдач цих стартапів і те, що 50% з них користуються Google Workspaces, а також швидкість, з якою стартапи закриваються, можна припустити, що в будь-який момент на продаж може бути виставлено чимало доменів, підключених до Google. Це не було б проблемою, якби купівля домену з активним обліковим записом Google не давала можливість повторно активувати акаунти Google для колишніх співробітників.

Маючи доступ адміністратора до цих акаунтів, користувач може отримати доступ до багатьох сервісів, для входу в які вони використовували OAuth Google, таких як Slack, ChatGPT, Zoom та HR-системи. Айрі пише, що він купив покинутий домен стартапу й отримав доступ до кожного з них за допомогою входу в обліковий запис Google. В результаті він отримав податкові документи, дані про співбесіди та прямі повідомлення, а також інші конфіденційні матеріали.

«Ми вдячні Ділану Ейрі за допомогу у виявленні ризиків, що виникають через те, що клієнти забувають видалити сторонні SaaS-сервіси в рамках припинення своєї діяльності. Як найкращу практику, ми рекомендуємо клієнтам належним чином закривати домени, дотримуючись цих інструкцій, щоб унеможливити подібні проблеми. Крім того, ми закликаємо сторонні додатки дотримуватися найкращих практик, використовуючи унікальні ідентифікатори облікових записів (sub), щоб зменшити цей ризик», — прокоментували звіт дослідника в Google.

Айрі зазначив, що показав його Google 30 вересня 2024 року. Google відповів 2 жовтня, що «прийняв рішення не відстежувати його як помилку зловживання» і встановив статус «Не буде виправлено (передбачувана поведінка)». Представник Google написав, що початкова реакція компанії ґрунтувалася на «сильному і належному захисті», який вже існував.

Через десять днів після того, як доповідь Айрі на цю тему була озвучена на хакерській конференції Shmoocon, Google знову відкрив питання і виплатив йому винагороду в розмірі $1337. Тоді в компанії заявили, що тепер «ймовірність експлойту низька».

В інструкціях із закриття домену та документації до API Google вказує на унікальний ідентифікатор користувача «sub» як на значення, яке «ніколи не змінюється» і яке слід використовувати як ключ для ідентифікації користувача. У дописі Айрі цитує неназваного штатного інженера великої технологічної компанії, який не погоджується з цим твердженням, припускаючи, що значення sub змінюється «приблизно в 0,04% входів» за допомогою Google OAuth. При певних розмірах аудиторії це можуть бути сотні входів щотижня. Зіткнувшись з такою проблемою, великі сервіси, ймовірно, не використовують «sub» для перевірки унікальних користувачів, припускає Айрі.

Представник Google заявив, що компанія «із задоволенням вивчить будь-які матеріали з цього приводу», але не побачила «жодних доказів на підтримку твердження, що поле sub не є незмінним і унікальним ідентифікатором». Google також оновив свою документацію для розробників OAuth, щоб ще більше підкреслити використання «sub» в якості захисту.

Рішення Айрі, яке він запропонував Google, полягає в тому, щоб включити два нових незмінних ідентифікатори у свої заяви OpenID Connect: один, прив’язаний до користувача, який ніколи не змінюється, і один, прив’язаний до домену. Поки в компанії не відреагували на цю пропозицію.

Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
По темi
Читайте головні IT-новини країни в нашому Telegram
Компанія OpenAI придбала відомий домен Chat.com для розвитку ШІ. Угода могла вартувати понад $15 млн
Компанія OpenAI придбала відомий домен Chat.com для розвитку ШІ. Угода могла вартувати понад $15 млн
По темi
Компанія OpenAI придбала відомий домен Chat.com для розвитку ШІ. Угода могла вартувати понад $15 млн
російський суд оштрафував Google на $78 млн за невиконання вимог
російський суд оштрафував Google на $78 млн за невиконання вимог
По темi
російський суд оштрафував Google на $78 млн за невиконання вимог
Володар .COM. Як американська VeriSign збудувала монополію на домен. І до чого тут Дональд Трамп
Володар .COM. Як американська VeriSign збудувала монополію на домен. І до чого тут Дональд Трамп
По темi
Володар .COM. Як американська VeriSign збудувала монополію на домен. І до чого тут Дональд Трамп
Підключай Megogo зі знижками за акційними тарифами.

від 99 гривень на місяць

Читайте також
Вас також кусають комарі? Розповідаємо про пристрій від українських стартаперів, який може цьому зарадити
Вас також кусають комарі? Розповідаємо про пристрій від українських стартаперів, який може цьому зарадити
Вас також кусають комарі? Розповідаємо про пристрій від українських стартаперів, який може цьому зарадити
Як зауважив нещодавно один військовий, якой побажав залишитись невідомим, орки, може, й не поцілять, а комарі точно зʼїдять. І від них потерпають зараз багато українців.  Позбавитись від комарів назавжди ефективно й екологічно допоможе гаджет Mosqitter. Цей стартап заснували дві українки — Анастасія Романова та Ольга Дьячук.  Ми вирішили нагадати, що може Mosqitter, про принципи його роботи та особливості, на злобу дня.  (текст від 21 жовтня 2021 року) 
1 коментар
Головоломка киянина Quadline перемогла на фестивалі інді-ігор Google Play
Головоломка киянина Quadline перемогла на фестивалі інді-ігор Google Play
Головоломка киянина Quadline перемогла на фестивалі інді-ігор Google Play
Як ламають відео-ігри та викладають їхні піратські копії? Розповідає програміст
Як ламають відео-ігри та викладають їхні піратські копії? Розповідає програміст
Як ламають відео-ігри та викладають їхні піратські копії? Розповідає програміст
Що, юний хакер, тобі цікаво, які ігри ще досі не крякнули? Тоді мерщій читай цю статтю. Нижче ми розглянемо, які технології використовуються для захисту ігор від злому. Також не пройдемо повз рекордсменів. Дізнаємося про рекордний час, за який вдалося зламати гру. Та розглянемо справжніх «міцних горішків».
1 коментар
Шахраї грабують українців від імені «Дії» та Зеленського: перелік сайтів
Шахраї грабують українців від імені «Дії» та Зеленського: перелік сайтів
Шахраї грабують українців від імені «Дії» та Зеленського: перелік сайтів
1 коментар

Хочете повідомити важливу новину? Пишіть у Telegram-бот

Головні події та корисні посилання в нашому Telegram-каналі

Обговорення
Коментарів поки немає.