安全企业Truffle Security在Google提供的OAuth身份验证机制(以Google账号登录)发现弱点,假如用户曾在创业公司任职,而且该公司已结束运营的状态,那么他们的数据就有可能遭到泄露。
Truffle Security首席执行官兼联合创办人Dylan Ayrey指出,,他起初曾借此成功登录不属于自己的账号,以便向Google展示弱点,但得到的回应竟是这些行为“如预期运行(working as intended)”。
之所以存在此项弱点,在于Google对于OAuth身份验证机制的管制不当,一旦有人试图买下结束营业的公司域名,并用来重新创建员工的电子邮件账号,就有机会利用这些账号登录该公司曾经使用的SaaS服务。
为何Dylan Ayrey会发现OAuth验证有弱点?因为他曾买下一个弃用的公司域名,并发现能够用来访问该公司员工的ChatGPT、Slack、Notion、Zoom、人资系统的账号。其中最敏感的SaaS服务莫过于人资系统,因为内置税务文件、薪资、保险资讯、社会安全码等详细个人信息。
究竟这样的弱点影响范围有多大?Dylan Ayrey指出,根据统计,有6百万美国人在科技创业公司工作,其中有9成失败、结束营业,而这些创业公司有半数采用Google Workspaces构建电子邮件系统。而且,根据知名创业公司数据库网站Crunchbase的记录显示,有超过10万个收山的创业公司闲置域名,假设这些公司平均有10个员工,并采用10种SaaS服务,那么这项弱点将有可能让1千万个账号数据曝光。
去年9月Dylan Ayrey向Google通报此事,并提出缓解措施,起初Google回复这项问题涉及欺诈与滥用,而非OAuth登录瑕疵,所以,他们不给修补,等到12月9日,Dylan Ayrey确定会在隔年1月美国黑客大会ShmooCon 2025发布这个漏洞的演讲之后,10天后,Google终于改变主意,决定重新启动调查并颁发1,337美元漏洞挖掘奖励,承诺将修复这项弱点,但究竟他们打算如何处理?Google并未向研究人员透露。
