פגם ב-Google OAuth מעמיד מיליוני אנשים בסיכון. מנוצל על ידי פושעי סייבר, הפגיעות מאפשרת לתזמן דליפה ענקית של נתונים אישיים...
החוקרים שלאבטחת כמהיןגילה פגם בתפקוד שלGoogle OAuth, היישום של Google של תקן OAuth הפתוח. זה מאפשר למשתמשים לאשר ליישומי צד שלישי לגשת בצורה מאובטחת לנתונים שלהם בשירותי Google, כגון Gmail, Google Drive, YouTube או Google Docs.
על פי חקירות מומחים, ניתן להשתמש בפונקציית "התחבר לגוגל" של מערכת OAuth כדי להשתלט על חשבונות השייכים לחברות פושטות רגל. הפגם נוגע רק לסטארט-אפים שסגרו את שעריהם.
קרא גם:
הפרת OAuth וגניבת נתונים
כאשר חברה משתמשת ב-OAuth, היא רושמת דומיין עבור האפליקציות שלה. דומיין זה משמש כמזהה. עם זאת, אם העסק נסגר בטרם עת ונוטש את התחום שלו, ניתן לרכוש אותו על ידי אדם פרטי. כפי שמסביר החוקר דילן איירי,"הכניסה ל-OAuth של גוגל אינה מגינה מפני שמישהו יקנה דומיין של סטארט-אפ כושל וישתמש בו כדי ליצור מחדש חשבונות אימייל עבור עובדים לשעבר".
אישורי OAuth הם לעתים קרובותהקשורים לתחום, ולא למזהה בלתי ניתן לשינוי. אם הדומיין משנה בעלות, למערכות כמו Google OAuth לא תמיד יש דרך לזהות את השינוי הזה. דה פקטו, הבעלים החדש יכול להשתמש בפונקציה כדי להתחבר מחדש לשירותי צד שלישי, כגון Slack, Notion, Zoom, או אפילו ChatGPT. אלו הן רק דוגמאות בין היתר.
"למרות שאינך יכול לגשת לנתוני דוא"ל ישנים, אתה יכול להשתמש בחשבונות אלה כדי להתחבר לכל המוצרים השונים שבהם החברה משתמשת", מסביר Trufflesecurity.
לכן, תוקפים פוטנציאליים יכוליםלסנן נתונים רגישיםמהחשבונות. חוקרים הוכיחו כי ניתן להשיג מסמכים חסויים על ידי חיבור לפלטפורמות ייעודיות למשאבי אנוש. בין הקבצים שעלולים להגיע לידי האקרים ניתן למנות מסמכי מס, מידע ביטוחי ומספרי ת.ז. מידע זה יכול להוות איום רציני על הנפגעים. עם מספר תעודת זהות, האקר יכול לנסות גניבת זהות.
החוקרים מציינים שגוגל OAuth מטמיעה מערכת שלתביעת משנה, אמור למלא את התפקיד של מזהה ייחודי המוקצה לכל משתמש, ללא קשר להתפתחות הדומיין או כתובת האימייל שלו. לרוע המזל, למנגנון זה יש שיעור חוסר עקביות של 0.04%. ברור שחלק מתביעות המשנה אינו נשאר קבוע לאורך זמן. בתנאים אלה, שירותי צד שלישי אינם יכולים להסתמך רק על תביעת המשנה לזיהוי משתמשים. לאחר מכן הם מסתמכים על כתובת הדואר האלקטרוני והדומיין, ופותחים את הדלת לדליפות נתונים.
קרא גם:
מיליוני אנשים נפגעו
כפי שמציין החוקר מאחורי התגלית, הפגם מאיים על מיליוני אנשים. למעשה, יש כרגעיותר מ-110,000 דומיינים זמיניםשהשתייך לחברות פושטות רגל. כל מי שעבד עבור החברות הללו עלול לקבל את המידע האישי שלו על ידי פושעי סייבר.
"מיליוני אמריקאים עלולים לגנוב את הנתונים שלהם ברגע זה", אומר דו"ח ה-Trufflesecurity.
באופן לא מפתיע, דילן איירי התריע לגוגל על הפגיעות בתוך Google OAuth. בתחילה, ענקית Mountain View סירבה לתקן את הפגיעות, מתוך אמונה שמדובר יותר בבעיה של הונאה והתעללות. לאחר מכן, גוגל שינתה את דעתה והסכים לבדוק את הנושאנ. עם זאת, הפגיעות עדיין פתוחה וניתנת לניצול.
בתגובה שהופנתה לעמיתינו במחשב מצמרר, מציינת הקבוצה להודות"דילן איירי על עזרתו בזיהוי הסיכונים הכרוכים בכך שלקוחות שוכחים למחוק שירותי צד שלישי בעת סיום העסק שלהם". גוגל ממליצה לחברות פושטות רגל"לסגור כראוי את הדומיינים שלהם"נקיטת שורה של אמצעי זהירות, כולל מחיקת כל נתוני המשתמש בתהליך.
יתר על כן, גוגל מעודדת"אפליקציות של צד שלישי עוקבות אחר שיטות עבודה מומלצות בשימוש במזהי חשבון ייחודיים". עבור דילן איירי,"ללא אישורים בלתי ניתנים לשינוי עבור משתמשים וסביבות עבודה, שינויים בבעלות על הדומיין ימשיכו לסכן חשבונות".
🔴 כדי לא לפספס שום חדשות 01net, עקבו אחרינוחדשות גוגלetוואטסאפ.
מקור: מחשב מצמרר
