HackerNews 编译,转载请注明出处:
最新研究发现,谷歌“使用谷歌账号登录”认证流程中存在一个“缺陷”,攻击者可利用域名所有权的特殊之处获取敏感数据。
周一的报告中,Truffle Security联合创始人兼首席执行官Dylan Ayrey表示:“谷歌的OAuth登录机制无法防止攻击者购买已倒闭创业公司的域名,并利用其重新创建前员工的电子邮件账户。”
“虽然无法访问旧电子邮件数据,但可以使用这些账户登录该组织使用的所有不同SaaS产品。”
这家总部位于旧金山的公司指出,仅仅通过购买与已倒闭创业公司相关的废弃域名,即可未经授权访问与OpenAI ChatGPT、Slack、Notion、Zoom甚至HR系统等各种应用程序相关的前员工账户,从而使数百万美国用户的数据面临风险。
Ayrey说:“最敏感的账户包括HR系统,其中含有税务文件、工资单、保险信息、社会保险号码等更多信息。面试平台也包含有关候选人反馈、录用和拒绝的敏感信息。”
OAuth(开放授权)是一种用于访问委托的开放标准,允许用户授予网站或应用程序访问其在其他网站上信息的权限,而无需提供密码。这是通过使用访问令牌来验证用户身份并允许服务访问令牌所指定的资源来实现的。
当使用“使用谷歌账号登录”登录Slack等应用程序时,谷歌会向该服务发送一组关于用户的声明,包括其电子邮件地址和托管域名,然后可利用这些信息登录用户账户。
这也意味着,如果服务仅依赖这些信息对用户进行身份验证,那么域名所有权变更就可能让攻击者重新访问前员工账户。
Truffle还指出,谷歌的OAuth ID令牌包含一个唯一的用户标识符(sub声明),理论上可以防止这个问题,但已被发现不可靠。值得注意的是,微软的Entra ID令牌包含sub或oid声明,用于存储每个用户的不可变值。
谷歌最初对漏洞披露的回应称这是预期行为,但自2024年12月19日起重新打开了漏洞报告,并向Ayrey颁发了1337美元的奖金。谷歌还将此问题定性为“具有重大影响的滥用相关方法”。
与此同时,下游软件提供商无法采取任何措施来保护其免受谷歌OAuth实现中的漏洞影响。The Hacker News已联系谷歌以获取进一步评论,如有回复,我们将更新报道。
Ayrey说:“作为个人,一旦你从创业公司离职,你就失去了保护这些账户中数据的能力,你的数据将受到创业公司及域名未来命运的摆布。如果用户和工作区没有不可变标识符,域名所有权变更将继续危及账户安全。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
