Los investigadores han descubierto un defecto en OAuth de Google sistema que podría permitir a los atacantes acceder a datos potencialmente confidenciales de cuentas de antiguos empleados en nuevas empresas desaparecidas.
OAuth de Google es el inicio de sesión del gigante de Mountain View tecnología que le permite acceder a muchas plataformas y servicios con su Google cuenta. Cuando utilizas la opción «Iniciar sesión con Google», estás utilizando OAuth. La suite de servicios de la compañía también tiene una gran presencia en el entorno empresarial. Los empleados utilizan OAuth no sólo para acceder a la suite Workspace sino también a plataformas externas a través del modelo de software como servicio (SaaS).
Esta falla de OAuth de Google podría permitir a los atacantes heredar las credenciales de inicio de sesión
Es posible que tengas más de una cuenta de Google y que algunas ni siquiera recuerdes tus credenciales. Entonces, su cuenta perdida queda en un “limbo” donde no puede acceder a ella por una razón u otra. Sin embargo, la cuestión de mantener “cuentas zombis” es más delicada en los entornos empresariales. Estas cuentas suelen estar vinculadas a servicios de terceros con datos potencialmente confidenciales de ex empleados o de la empresa para la que trabajaban.
A finales de septiembre de 2024, el equipo de Trufflesecurity detectó una falla en el sistema OAuth de Google que los actores malintencionados podrían aprovechar. En ese momento, Google calificó el problema como “fraude y abuso” en lugar de una vulnerabilidad de inicio de sesión. Sin embargo, Dylan Ayrey, director ejecutivo de Trufflesecurity, lo expuso durante la última convención de hackers de Shmoocon en diciembre pasado. Esto llevó a Google a reabrir el ticket y ofrecer una recompensa de 1.337 dólares a los investigadores.
“El inicio de sesión OAuth de Google no protege contra alguien que compre el dominio de una startup fallida y lo use para recrear cuentas de correo electrónico para ex empleados”, dijo Ayrey sobre el tema. en un informe reciente. En el caso de que un tercero compre el dominio de una startup fallida y herede el inicio de sesión OAuth de Google, no podría acceder a las comunicaciones internas anteriores de la empresa. Sin embargo, podrían iniciar sesión en servicios externos vinculados al dominio OAuth de ese Google. Por ejemplo, podrían acceder a ChatGPT, Notion, Zoom, Slack o algunas plataformas de RRHH, retomando las sesiones de exempleados de la extinta startup.
Los atacantes sólo necesitan comprar un dominio obsoleto de una startup fallida
El investigador mostró cómo logró acceder a datos confidenciales de una startup fallida desde los sistemas de recursos humanos. el solo Tuve que comprar un dominio obsoleto. y utilizar credenciales OAuth heredadas. Los atacantes potenciales podrían comenzar a apuntar a dominios relacionados con startups fallidas para comprarlos y explotar la vulnerabilidad. La base de datos de Crunchbase de nuevas empresas que ya no existen enumera alrededor de 116.481 dominios disponibles. Esto significa que podría haber millones de cuentas de antiguos empleados listas para ser «explotadas».
Para evitar problemas relacionados con el sistema OAuth, debe evitar utilizar las credenciales de su empresa en cuentas personales. Hacerlo podría abrir la puerta a que los atacantes los roben en el futuro. También debe eliminar cualquier dato confidencial de su cuenta comercial si cambia de trabajo.
Fuente: Android Headlines