Yeni araştırma, Google’ın “Google ile Oturum Açma” kimlik doğrulama akışındaki, hassas verilere erişim sağlamak için alan adı sahipliğindeki tuhaflıktan yararlanan bir “eksikliğin” perdesini geri çekti.
Truffle Security’nin kurucu ortağı ve CEO’su Dylan Ayrey Pazartesi günü yayınlanan bir raporda, “Google’ın OAuth girişi, birisinin başarısız bir girişimin alan adını satın almasına ve bunu eski çalışanlar için e-posta hesaplarını yeniden oluşturmak için kullanmasına karşı koruma sağlamaz.” dedi.
“Eski e-posta verilerine erişemeseniz de bu hesapları, kuruluşun kullandığı tüm farklı SaaS ürünlerine giriş yapmak için kullanabilirsiniz.”
San Francisco merkezli şirket, sorunun, başarısız bir girişimle ilişkili geçersiz bir alan adı satın alarak ve OpenAI ChatGPT, Slack gibi çeşitli uygulamalarla ilgili eski çalışan hesaplarına yetkisiz erişim sağlayarak milyonlarca Amerikalı kullanıcının verilerini riske atma potansiyeline sahip olduğunu söyledi. , Notion, Zoom ve hatta İK sistemleri.
Ayrey, “En hassas hesaplar vergi belgelerini, maaş bordrolarını, sigorta bilgilerini, sosyal güvenlik numaralarını ve daha fazlasını içeren İK sistemlerini içeriyordu” dedi. “Görüşme platformları ayrıca aday geri bildirimleri, teklifler ve reddedilmeler hakkında hassas bilgiler içeriyordu.”
Açık yetkilendirmenin kısaltması olan OAuth, erişim yetkisi için açık bir standardı ifade eder ve kullanıcıların web sitelerine veya uygulamalara, şifrelerini vermek zorunda kalmadan diğer web sitelerindeki bilgilerine erişmesine olanak tanır. Bu, kullanıcının kimliğini doğrulamak ve hizmetin belirtecin amaçlandığı kaynağa erişmesine izin vermek için bir erişim belirteci kullanılarak gerçekleştirilir.
Slack gibi bir uygulamada oturum açmak için “Google ile Oturum Açın” kullanıldığında Google, hizmete kullanıcı hakkında e-posta adresi ve barındırılan alan adı da dahil olmak üzere bir dizi talep gönderir ve bunlar daha sonra kullanıcıların kendi uygulamalarına giriş yapması için kullanılabilir. hesaplar.
Bu aynı zamanda, bir hizmetin kullanıcıların kimliklerini doğrulamak için yalnızca bu bilgilere dayanması durumunda, etki alanı sahipliği değişikliklerinin bir saldırganın eski çalışan hesaplarına yeniden erişmesine olanak verebileceği bir senaryonun kapısını da açacağı anlamına gelir.
Truffle ayrıca Google’ın OAuth ID belirtecinin, teorik olarak sorunu önleyebilecek benzersiz bir kullanıcı tanımlayıcısı (alt hak talebi) içerdiğini, ancak bunun güvenilmez olduğunun tespit edildiğini belirtti. Microsoft’un Entra ID belirteçlerinin, kullanıcı başına değişmez bir değer depolamak için alt veya oid iddialarını içerdiğini belirtmekte fayda var.
Google, güvenlik açığının açıklanmasına başlangıçta bunun amaçlanan bir davranış olduğunu belirterek yanıt verdi, ancak daha sonra 19 Aralık 2024 itibarıyla hata raporunu yeniden açarak Ayrey’e 1.337 ABD doları ödül verdi. Aynı zamanda konuyu “yüksek etkili, kötüye kullanımla ilgili bir metodoloji” olarak nitelendirdi.
Bu arada, alt yazılım sağlayıcılarının Google’ın OAuth uygulamasındaki güvenlik açığına karşı koruma sağlamak için alabilecekleri herhangi bir koruma bulunmamaktadır. Hacker News daha fazla yorum almak için Google’a ulaştı ve geri dönüş alırsak hikayeyi güncelleyeceğiz.
Ayrey, “Bir birey olarak, bir startup’tan çıkarıldığınızda, bu hesaplardaki verilerinizi koruma yeteneğinizi kaybedersiniz ve startup’ın ve alan adının geleceğinin başına gelecek her türlü kadere tabi olursunuz” dedi. “Kullanıcılar ve çalışma alanları için değişmez tanımlayıcılar olmadığında, alan adı sahipliği değişiklikleri hesapların güvenliğini tehlikeye atmaya devam edecektir.”