新的研究强调了谷歌“使用谷歌登录”身份验证方法中的一个漏洞,该漏洞允许通过利用废弃的启动域来未经授权地访问敏感数据,从而给数百万美国用户带来潜在风险。
新研究发现谷歌身份验证方法中的漏洞
Dylan Ayrey,Truffle Security 联合创始人兼首席执行官, 透露 Google 的 OAuth 登录无法防止有人购买失败的初创公司的域名并为前员工重新创建电子邮件帐户。虽然这不会授予对旧电子邮件数据的访问权限,但它允许攻击者登录组织使用的各种软件即服务 (SaaS) 产品。
研究表明,通过这些帐户获取访问权限可能会危及 OpenAI ChatGPT、Slack、Notion、Zoom 和多个人力资源 (HR) 系统等平台上的用户。敏感数据,包括税务文件、工资单、保险信息和社会安全号码,可能会被暴露。面试平台还可能包含有关候选人反馈和招聘决策的私人信息。
OAuth(或开放授权)是一种标准,允许用户授予应用程序访问其数据的权限,而无需共享密码。当使用“使用 Google 登录”登录应用程序时,Google 会提供有关用户的声明,包括他们的电子邮件地址和托管域。如果身份验证仅依赖于这些元素,则会增加域所有权更改后未经授权访问的风险。
Truffle Security 研究人员记录了该问题,并于 2024 年 9 月 30 日向 Google 报告。Google 最初将该发现归类为欺诈和滥用问题,而不是 OAuth 中的缺陷。艾雷 (Ayrey) 在 什穆孔 12 月,Google 重新开放了该罚单,并授予 Ayrey 1,337 美元的赏金。尽管如此,该漏洞仍未得到解决且可被利用。
Google 的 OAuth ID 令牌包含一个称为“sub 声明”的唯一用户标识符,理论上应该可以防止此类问题。然而,子声明可靠性中的不一致(大约为 0.04%)迫使 Slack 和 Notion 等服务仅依赖电子邮件和域名声明,这些声明可以由新域名所有者继承,从而允许冒充前员工。
Ayrey 通过扫描 Crunchbase 数据库发现了 116,481 个废弃域名。他主张谷歌引入不可变标识符来加强帐户安全。此外,SaaS 提供商可以强制执行诸如交叉引用域注册日期或要求帐户访问的管理员级别权限等措施,以增强安全性。
然而,实施这些安全措施可能会带来运营成本、技术挑战和用户摩擦,从而导致采用的动力最小。这种风险持续扩大,可能会影响初创公司数以百万计的员工账户,特别是据统计,预计 90% 的科技初创公司将倒闭。
目前,约有 600 万美国人在科技初创公司工作,其中约 50% 使用 Google Workspaces 发送电子邮件,这意味着许多用户使用 Google 帐户登录生产力工具。前雇员是 建议 在离开此类组织之前从帐户中删除敏感信息,避免使用工作帐户进行个人注册,以减轻未来的安全风险。
特色图片来源: 谷歌
