Google’ın “Google ile Oturum Açma” kimlik doğrulama akışındaki kritik bir güvenlik açığı, milyonlarca Amerikalıyı, özellikle de başarısız girişimlerde çalışmış olanları veri hırsızlığı riskiyle karşı karşıya bırakıyor.
Sorun, Google’ın OAuth giriş sisteminin alan adı sahipliğiyle nasıl etkileşimde bulunduğu, kötü aktörlerin geçersiz alan adlarından yararlanmasına ve hassas hesaplara yetkisiz erişim sağlamasına olanak sağlamasında yatmaktadır.
Kusur konusunda uyarılmasına rağmen Google başlangıçta sorunu “amaçlandığı gibi çalışıyor” diyerek reddetti, ancak daha sonra davayı yeniden açtı ve bir düzeltme sözü verdi.
Güvenlik Açığı: Etki Alanı Sahipliği OAuth ile Buluşuyor
Kusur, kullanıcıların Google kimlik bilgilerini kullanarak üçüncü taraf hizmetlere giriş yapmasına olanak tanıyan Google’ın OAuth uygulamasından kaynaklanıyor.
Kullanıcılar “Google ile oturum aç”ı tıkladıklarında Google, hizmete kullanıcının e-posta adresi ve alana özel tanımlayıcı ( hd iddia). Bu hak talepleri Slack, Notion ve Zoom gibi hizmetler tarafından erişim izni vermek için kullanılır.
Bununla birlikte, bir startup kapanırsa ve alan adı satın alınmaya uygun hale gelirse, saldırganlar alan adını satın alabilir, eski çalışanlar için e-posta hesaplarını yeniden oluşturabilir ve bu hesapları çeşitli SaaS platformlarına giriş yapmak için kullanabilir.
“Bir hizmet (örneğin, Slack) yalnızca bu iki iddiaya dayanıyorsa, Alan adındaki sahiplik değişiklikleri Slack’te farklı görünmeyecek. Birisi feshedilmiş bir şirketin alan adını satın aldığında, aynı hak taleplerini devralır ve eski çalışan hesaplarına erişmelerine olanak tanır.”
Saldırganlar eski e-postalara erişemese de, yeniden oluşturulan hesaplardan yararlanarak İK sistemleri, sohbet platformları ve görüşme araçları gibi hizmetlerde saklanan hassas bilgilere erişebilirler.
Bir güvenlik araştırmacısı, geçersiz bir başlangıç alan adı satın alarak ve birden fazla platformdaki hesaplara erişim sağlayarak bunu gösterdi.
En hassas veriler arasında Sosyal Güvenlik numaraları, vergi belgeleri, maaş bordroları, sigorta bilgileri ve özel mesajlar yer aldı.
Potansiyel etki şaşırtıcıdır.
- Şu anda 6 milyon Amerikalı teknoloji startuplarında çalışıyor.
- Teknoloji girişimlerinin %90’ı sonunda başarısız oluyor.
- Bu girişimlerin %50’si e-posta için Google Workspace’e güveniyor.
Araştırmacı, Crunchbase verilerini kullanarak, satın alınabilecek 100.000’den fazla kullanımdan kaldırılmış alan adını belirledi. Başarısız olan her girişimin, görev süreleri boyunca 10 farklı SaaS hizmetini kullanan 10 çalışanı olduğu varsayılırsa, bu güvenlik açığı 10 milyondan fazla hesabın açığa çıkmasına neden olabilir.
Google’ın OAuth sistemi benzersiz bir kullanıcı tanımlayıcısı içerir (sub claim) teorik olarak bu sorunu önleyebilir.
Ancak, sub claim oturum açma işlemleri arasında tutarsızdır (vakaların yaklaşık %0,04’ünde değişir), alt sağlayıcıların kullanıcı kimliğini doğrulamasını güvenilmez hale getirir.
Sonuç olarak birçok platform, kimlik doğrulama için yalnızca e-posta ve alan adı taleplerine güvenir. Etki alanı sahipliği el değiştirdiğinde bu hak talepleri geçerliliğini korur ve saldırganlara etkili bir şekilde erişim sağlar.
Önerilen Düzeltmeler ve Google’ın Yanıtı
Araştırmacı, Google’ın OpenID Connect (OIDC) taleplerine iki değişmez tanımlayıcı eklemesini önerdi:
- Zaman içinde tutarlı kalan benzersiz bir kullanıcı kimliği.
- Etki alanına bağlı benzersiz bir çalışma alanı kimliği.
Başlangıçta Google, raporu OAuth güvenlik açığından ziyade “dolandırıcılık ve kötüye kullanım” sorunu olarak değerlendirdi. Ancak Aralık 2024’te araştırmacının ShmooCon’daki konuşması kabul edildikten sonra Google davayı yeniden açtı ve 1.337 dolar ödül verdi. Google bir düzeltme sözü vermesine rağmen belirli ayrıntıları veya zaman çizelgelerini açıklamadı.
Şimdilik, Slack veya Notion gibi alt sağlayıcıların Google’dan değişiklik yapmadan bu güvenlik açığını azaltmak için sınırlı seçenekleri var. Bireysel kullanıcı olarak:
- Kritik hizmetler için “Google ile Oturum Aç” seçeneğini kullanırken dikkatli olun.
- Yeni başlayanların parola tabanlı kimlik doğrulamayı devre dışı bırakmasını ve iki faktörlü kimlik doğrulama (2FA) ile tek oturum açmayı (SSO) zorunlu kılmasını savunun.
Servis sağlayıcılar, güvenliği ihlal edilmiş alan adlarıyla ilişkili riskleri azaltmak amacıyla şifre sıfırlama işlemleri için SMS kodları veya kredi kartı kontrolleri gibi ek doğrulama adımları da uygulayabilir.
Bu güvenlik açığı, Google’ın OAuth uygulamasındaki temel bir kusuru vurgulamaktadır: kullanıcılar ve çalışma alanları için değişmez tanımlayıcıların bulunmaması.
Google bir düzeltme uygulayana kadar, sona eren startup’lara bağlı milyonlarca hesap, yetkisiz erişim ve veri hırsızlığı riskiyle karşı karşıya kalacak.
Google’ın sorunla yeniden ilgilenmesi umut verici olsa da, saldırganlar bu boşluktan büyük ölçekte yararlanabileceği için zaman çok önemli.
Bu Haberi İlginç Bulun! Anında Güncellemeler Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin