Уязвимость в системе аутентификации “Sign in with Google” оставила миллионы американцев под угрозой кражи данных. Проблема затрагивает в основном бывших сотрудников стартапов, особенно тех, которые уже прекратили свою деятельность.
Компания Truffle Security установила,что причина уязвимости связана с тем, как Google OAuth обрабатывает изменения владельцев доменов. При закрытии стартапа его домен становится доступным для покупки. Новый владелец может воссоздать почтовые ящики бывших сотрудников, которые, хотя и не предоставляют доступ к старым данным, позволяют войти в различные сервисы.
Исследователь по безопасности продемонстрировал проблему, купив домен закрытого стартапа. Ему удалось получить доступ к таким сервисам, как ChatGPT, Slack, Notion, Zoom, а также HR-системам, содержащим номера социального страхования, налоговые документы и другие конфиденциальные данные.
Масштабы проблемы значительны. В США около 6 миллионов человек работают в стартапах, из которых около 90% закрываются, а половина использует Google Workspaces. Анализ данных Crunchbase показал, что более 100 000 доменов закрытых стартапов доступны для покупки. Это создаёт риск утечки данных с более чем 10 миллионов аккаунтов.
Уязвимость связана с тем, как провайдеры, такие как Slack, аутентифицируют пользователей. Они используют два параметра Google OAuth: HD (домен) и email. При смене владельца домена эти параметры остаются неизменными, предоставляя доступ новым владельцам.
Решением проблемы может стать внедрение Google двух неизменных идентификаторов в OpenID Connect (OIDC): уникального идентификатора пользователя и идентификатора рабочей области. Однако, несмотря на уведомление исследователя, Google предварительно отказалась исправлять уязвимость, отметив её как “не подлежит исправлению”. Только после широкой огласки компания возобновила рассмотрение случая.
Полного решения проблемы пока не предложено, и провайдеры, такие как Slack, не могут устранить её самостоятельно. Уязвимость подчёркивает необходимость усиления систем аутентификации и пересмотра подходов к безопасности в условиях растущей зависимости от облачных сервисов.