Google dolandırıcıların bir hesap oluşturmak için gereken e-posta doğrulamasını atlatmalarına olanak tanıyan bir kimlik doğrulama zayıflığını yakın zamanda düzelttiğini söylüyor Google Çalışma Alanı Hesabınız varsa ve bunu Google’ın “Google ile oturum aç” özelliği aracılığıyla oturum açmaya izin veren üçüncü taraf hizmetlerde bir alan adı sahibinin kimliğine bürünmek için kullanabilirsiniz.
Geçtiğimiz hafta KrebsOnSecurity, e-posta adreslerinin Google tarafından engellenen potansiyel olarak kötü amaçlı bir Workspace hesabı oluşturmak için kullanıldığına dair bir bildirim aldığını söyleyen bir okuyucudan haber aldı.
Google’dan gelen bildirimde, “Son birkaç haftada, kötü niyetli kişilerin E-posta Doğrulamalı (EV) Google Workspace hesapları için hesap oluşturma akışımızdaki e-posta doğrulama adımını özel olarak oluşturulmuş bir istek kullanarak atlattığı küçük ölçekli bir kötüye kullanım kampanyası tespit ettik” ifadeleri yer aldı. “Bu EV kullanıcıları daha sonra ‘Google ile Oturum Aç’ özelliğini kullanarak üçüncü taraf uygulamalara erişim sağlamak için kullanılabilir.”
Google, sorulara yanıt olarak, sorunu keşfedildikten sonraki 72 saat içinde düzelttiğini ve şirketin bundan sonra bu tür kimlik doğrulama atlamalarına karşı koruma sağlamak için ek tespitler eklediğini söyledi.
Anu YamunaGoogle Workspace’te kötüye kullanım ve güvenlik korumaları yöneticisi olan KrebsOnSecurity, kötü amaçlı faaliyetin Haziran ayı sonlarında başladığını ve alan adı doğrulanmadan oluşturulan “birkaç bin” Workspace hesabını içerdiğini söyledi.
Google Workspace, insanların Google Docs gibi hizmetlere erişmek için kullanabileceği ücretsiz bir deneme sunuyor ancak Gmail gibi diğer hizmetler yalnızca e-posta adresleriyle ilişkili alan adı üzerinde denetimi doğrulayabilen Workspace kullanıcılarına sunuluyor. Google’ın düzelttiği zayıflık, saldırganların bu doğrulama sürecini atlamasına izin verdi. Google, etkilenen alan adlarının hiçbirinin daha önce Workspace hesapları veya hizmetleriyle ilişkilendirilmediğini vurguladı.
Yamunan, “Buradaki taktik, kayıt işlemi sırasında e-posta doğrulamasını atlatmak için kötü niyetli bir aktör tarafından özel olarak oluşturulmuş bir istek oluşturmaktı,” dedi. “Buradaki vektör, oturum açmayı denemek için bir e-posta adresi ve bir belirteci doğrulamak için tamamen farklı bir e-posta adresi kullanmalarıydı. E-posta doğrulandıktan sonra, bazı durumlarda Google tek oturum açma özelliğini kullanarak üçüncü taraf hizmetlerine eriştiklerini gördük.”
Yamunan, potansiyel olarak kötü amaçlı çalışma alanı hesaplarının hiçbirinin Google hizmetlerini kötüye kullanmak için kullanılmadığını, bunun yerine saldırganların alan adı sahibinin kimliğini çevrimiçi diğer hizmetlere yansıtmaya çalıştığını söyledi.
Google’dan gelen ihlal bildirimini paylaşan okuyucunun durumunda, sahtekarlar kimlik doğrulama atlamasını kullanarak etki alanını bir Workspace hesabıyla ilişkilendirdi. Ve bu etki alanı, çevrimiçi olarak çeşitli üçüncü taraf hizmetlerindeki oturum açmasına bağlandı. Gerçekten de, bu okuyucunun Google’dan aldığı uyarı, yetkisiz Workspace hesabının, hesabında oturum açmak için kullanılmış gibi göründüğünü söylüyordu. Dropbox.
Google, artık düzeltilen kimlik doğrulama atlamasının, geçtiğimiz yıl Google Domains üzerinden kayıtlı 10 milyondan fazla alan adı satın alan Squarespace’e geçiş sırasında kripto para tabanlı alan adlarının tehlikeye girdiği yakın tarihli bir sorunla ilgili olmadığını söyledi.
12 Temmuz’da, henüz Squarespace hesaplarını kurmamış olan Squarespace kullanıcılarından kripto para birimi işletmelerine bağlı bir dizi alan adı ele geçirildi. Squarespace o zamandan beri alan adı ele geçirmelerinin “OAuth oturum açma işlemleriyle ilgili bir zayıflığa” bağlı olduğunu söyleyen bir açıklama yayınladı ve Squarespace bunu saatler içinde düzelttiğini söyledi.