Prihlasovanie cez Google má slabinu, ktorá ohrozuje desiatky miliónov užívateľov. Zatiaľ nemá opravu

Bezpečnostná slabina Prihlasovania sa pomocou Google zasahuje milióny užívateľov a dovoľuje prihlásiť sa do služieb bývalých startupov.

Reklamná politika Google je podľa vedcov podvod
Zdroj: Wikimedia (Google), Unsplash (Markus Spiske), Úprava: Vosveteit.sk.

Bezpečnostní experti z Truffle Security upozorňujú na závažnú bezpečnostnú slabinu Googlu, ktorá postihuje milióny užívateľov. Slabina sa týka autentifikácie pri možnosti “Prihlásiť sa s Googlom”, ktorú môžeš vidieť na mnohých portáloch.  

Bezpečnostným analytikom sa podarilo prihlásiť sa cez OAuth slabinu do účtov ktoré nevlastnili. Znepokojivé je, že odpoveď Googlu znela, že funkcia pracuje tak, ako bolo zamýšľané. Google OAuth funkcia podľa vyšetrovania nechráni pred niekým, kto kúpi doménu neúspešného startupu a túto doménu používa na opätovné vytvorenie emailových účtov bývalých zamestnancov.  

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Zároveň upokojujú, že týmto spôsobom sa útočníci nedokážu dostať k dátam, ktoré boli na starom účte uložené. Namiesto toho ide o spôsob, ako sa môže niekto prihlásiť do rôznych predplatných služieb, ktoré bývalá organizácia používala. V rámci analýzy sa bezpečnostní experti dokázali cez OAuth metódu prihlásiť do ChatGPT, Slack, Notion, Zoom, HR systémov a ďalších služieb.  

slabe heslo hacker prihlasovacie udaje kyberneticky utok
Zdroj: Gerd Altmann z Pixabay, koláž Vosveteit.sk

Najcitlivejšie sú samozrejme HR systémy, ktoré obsahovali daňové dokumenty, výplatné pásky, informácie o poistení a ďalšie citlivé údaje. Platformy cez ktoré vykonávali bývalé spoločnosti interview potenciálnych kandidátov obsahovali informácie o prijatí a odmietnutí ponúk, hodnotení kandidátov a ďalšie citlivé informácie.  

Ak neúspešný startup používal rôzne četové platformy, potenciálny útočník dokáže získať prístup aj ku správam, ktoré boli v rámci tejto platformy poslané. To dáva kyberzločincovi množstvo citlivých informácií, ktoré sa na tejto platforme vymenili.  

Slabina zasahuje obrovské množstvo užívateľov 

Bezpečnostní experti vysvetľujú, že hlavne v dnešnej dobe milióny zamestnancov v IT sfére pracujú pre technologické startupy. Len na území Spojených štátov ide o približne 6-miliónov ľudí. Startupové spoločnosti zároveň majú až 90 % šancu, že eventuálne skončia a 50 % všetkých startupov sa spolieha na Google Workspace službu pre emailové účty.  

Hocikto sa môže začať hrabať v databázach startupov. Bezpečnostní analytici v rámci vyšetrovania odhalili viac ako 100-tisíc domén ktoré pochádzajú z nepodarených startupov.  

“Ak mal každý neúspešný startup priemerne 10 zamestnancov a používal priemerne 10 predplatných služieb, útočník má potenciálne prístup k viac ako 10-miliónom účtov,” varujú bezpečnostní analytici.  

Ako útok prebieha 

Keď klikneš na tlačidlo “Prihlásiť sa s Googlom”, spoločnosť Google posiela službe, napríklad ChatGPT, sadu informácií o užívateľovi. Tieto informácie spravidla obsahujú hosťujúcu doménu a email užívateľa na tejto doméne. Portál ChatGPT použije buď jednu alebo obe informácie na rozhodnutie, či sa daná osoba môže prihlásiť na platformu. 

Ak sa ChatGPT spolieha výhradne na tieto parametre, zmena vlastníka domény nebude pre platformu vyzerať inak. Útočník odkúpi doménu nepodareného startupu a získava rovnaké výhody, ako mala doména ešte keď startup fungoval. Znamená to, že útočník môže získať prístup ku starým zamestnaneckým účtom.  

Hacker s AI
Zdroj: Vosveteit.sk, AI

Bezpečnostní analytici postrehli, že tento systém má aj jedinečný identifikátor užívateľa. Hovoria, že ten by mohol teoreticky zabrániť tejto slabine, no v praxi je nespoľahlivý.  

Zaujímavosťou je, že spočiatku spoločnosť Google nechcela tento problém riešiť. Tvrdila, že OAuth funkcia pracuje tak ako má, no keď bezpečnostní analytici začali o chybe viac rozprávať, Google opakovane tento problém začal riešiť a pracuje na náprave.  

Momentálne neexistuje spôsob, ako chybu v OAuth funkcii napraviť. Zodpovednosť leží na Googli, ktorý musí pridať jedinečné identifikátory, ktoré by zabránili inému užívateľovi prihlásiť sa do rôznych služieb pomocou domény nepodareného startupu.  

“Systém OAuth spoločnosti Google má základné slabiny, ktoré musí technologický gigant napraviť,” hovoria bezpečnostní analytici.  

Spoločnosť sa vyjadrila, že na náprave chyby pracuje. Zatiaľ nám neostáva nič iné ako čakať a dúfať, že oprava príde rýchlo. Medzitým sú milióny účtov užívateľov v potenciálnom ohrození. 

Prihlás sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre