Google Cloud Platform (GCP), G Suite ve Cloud Identity kullanıcılarının “Kuruluşlar” adı verilen kuruluşlar oluşturmasına olanak tanır.
GCP kuruluşları, kaynakları (projeler, faturalandırma hesapları, IAM rolleri vb.) tek bir yerden kolayca yönetmek için kullanılabilir. Kaynakların çoğu oluşturulduğu organizasyondan ayrılamaz ve silinebilse de çoğu bir ay içinde geri yüklenebilir.
Bu nedenle kullanıcıların kaynaklarını nereye koyduklarına dikkat etmeleri önemlidir; örneğin: eğer herhangi bir nedenle güvenmedikleri bir kuruluşta faturalandırma hesabı oluşturdularsa, birisinin eylemleri nedeniyle kendilerinden ücret alınabilir. başka.
Ancak bir organizasyonda kaynak yaratmayı nasıl başarabilirler?
Peki, şunları da yapabilirler:
- G Suite/Cloud Identity alanının bir parçası olun (yani bir çalışan veya öğrenci), bu beklenmedik bir durumla karşılaşmaz.
- Veya organizasyon onlarla paylaşılabilir.
GCP kuruluşları, Cloud Identity & Access Management (IAM) aracılığıyla herhangi bir Google kullanıcısıyla paylaşılabilir.
Yani, onu birkaç kullanıcıyla paylaşsaydım, belki içlerinden biri yanlışlıkla içinde bir kaynak oluşturabilirdi ve ben de o kaynağı istediğim gibi yönetebilirdim.
Ancak GCP kuruluşlarının adları ve alanları olduğundan kuruluşumun adı “ezequiel.tech“Herkes daha önce görmediği garip bir organizasyonda kaynak yarattığının farkına varmaz mı?
Genellikle evet, ancak belgelerde “ekran adı” salt okunurdu.
Bununla kendi organizasyonuma sahip olabilir ve onu başka bir organizasyon olarak adlandırabilir ve kullanıcıların kafasını karıştırabilirim:
- Kuruluşuma isim veriyorum”
.com “ - ” ile paylaşınihtisas:
.com ” (Bunu, @ işaretine sahip her Google kullanıcısıyla etkili bir şekilde paylaşmak.com hesabı ) - Kuruluşumda kaynaklar yaratan, özellikle faturalandırma hesapları (Bu hesaplar kapatılabilir, silinemez ve bunları yeniden açıp kullanabilirim) veya anlamlı bilgileri yöneten projeler (Örneğin, daha önce kimlik bilgilerimin olmadığı diğer sunucular)
GCP organizasyonumu normal (@gmail.com) kullanıcı, bir proje oluşturduklarında Google Cloud Console arayüzü onları bir kuruluş seçmeye zorladı; erişim sahibi oldukları tek kuruluş benimki olsaydı, içinde bir proje oluşturmak zorunda kalacaklardı (Not: Temel API, kuruluş oluşturabilir -sorunsuz daha az proje).
Kolayca örgütümü arayabilirdim”Organizasyon yok” (Bunun bir alan adı olmasına gerek yoktu) ve muhtemelen çoğu kullanıcı ne olduğunu asla anlamazdı.
Bazı nedenlerden dolayı, kurban zaten kaydolmamışsa bu, Google Cloud Platform ücretsiz deneme başlığını da kaldırdı.
Bu saldırının basitliğini (Bir saldırganın yalnızca 4 ABD doları değerinde bir alan satın alıp, 14 günlük G Suite ücretsiz deneme sürümüne kaydolmasını ve ardından bir GCP kuruluşu oluşturmasını) ve bunun yaratabileceği etkileri göz önünde bulundurarak, sorunu şu adrese bildirdim: Google Güvenlik Açığı Ödül Programı.
Bu sorunun nedenlerini hızlı bir şekilde düzelttiler, bu nedenle artık bir kuruluşun adını değiştirmek mümkün değil ve bunu paylaşırken kullanıcılar arayüz tarafından kuruluşta kaynak oluşturmaya zorlanmıyor.
Ayrıca Google’a göre bu sorun, “google.com.tr” organizasyon (Dahili olarak kullanıyorlar “google.com.tr” dahili işler için bir GCP organizasyonu olarak), sahte organizasyon gerçeğinden daha gerçekçi görünecektir “google.com.tr” Organizasyonun, bunun nasıl göründüğüne dair bir resmi bile var:
Google Güvenlik Ekibinin bana gönderdiği resmi düşünün: Üstte sahte bir organizasyon var, alttaki ise gerçek.
Açıkça saldırıyor”google.com.tr” Organizasyonun büyük etkileri olabilirdi, çünkü Google Cloud Platform’u kullanan kafası karışmış Google çalışanları, hatalarını fark etmeden kaynaklar oluşturabilir ve dahili/gizli şeyler yapabilirler (Her ne kadar Google’ın ciddi sorunlardan kaçınmak için muhtemelen çok sayıda kontrolü vardır ve sonuçta, , eğer onlarınsa platform).
Bütün bunlardan dolayı 29 Ocak 2019’da 7500 dolar ödül aldım.
Zaman çizelgesi
- Sorun 29 Kasım 2018’de bulundu ve bildirildi
- Sorun hızla düzeltildi
- Ödül kararı ertelendi (Tatiller)
- 29 Ocak 2019’da verilen 7500$ tutarındaki ödül