Google’ın OAuth “Google ile Oturum Aç” özelliğindeki bir zayıflık, feshedilmiş girişimlerin alan adlarını kaydeden saldırganların, çeşitli hizmet olarak yazılım (SaaS) platformlarına bağlı eski çalışan hesaplarının hassas verilerine erişmesine olanak tanıyabilir.
Güvenlik açığı Trufflesecurity araştırmacıları tarafından keşfedildi ve geçen yıl 30 Eylül’de Google’a bildirildi.
Google başlangıçta bu bulguyu bir Oauth veya giriş sorunu olarak değil, “dolandırıcılık ve kötüye kullanım” sorunu olarak dikkate almadı. Ancak Trufflesecurity CEO’su ve kurucu ortağı Dylan Ayrey’in geçen Aralık ayında Shmoocon’da konuyu sunmasının ardından teknoloji devi araştırmacılara 1337 dolarlık bir ödül vererek bileti yeniden açtı.
Kaynak: Trufflesecurity
Ancak yayınlandığı sırada sorun çözülmemiş ve istismar edilebilir durumdadır. BleepingComputer’a yapılan açıklamada bir Google sözcüsü, şirketin müşterilere en iyi uygulamaları takip etmelerini ve “alan adlarını uygun şekilde kapatmalarını” önerdiğini söyledi.
Bir Google temsilcisi BleepingComputer’a şunları söyledi: “Müşterilerin faaliyetlerini durdurmanın bir parçası olarak üçüncü taraf SaaS hizmetlerini silmeyi unutmasından kaynaklanan riskleri belirlemede Dylan Ayrey’in yardımını takdir ediyoruz.”
En iyi uygulama olarak, bu tür sorunları imkansız hale getirmek için müşterilerimize bu talimatları izleyerek alan adlarını uygun şekilde kapatmalarını öneririz. Ayrıca, üçüncü taraf uygulamalarının bu riski azaltmak için benzersiz hesap tanımlayıcılarını (alt) kullanarak en iyi uygulamaları takip etmelerini teşvik ediyoruz” – Google sözcüsü
Temel sorun
Bugün yayınlanan bir raporda Ayrey, sorunu şu şekilde açıklıyor: “Google’ın OAuth girişi, birisinin başarısız bir girişimin alan adını satın almasına ve bunu eski çalışanlar için e-posta hesaplarını yeniden oluşturmak için kullanmasına karşı koruma sağlamaz.”
Klon e-postalar oluşturmak, yeni sahiplere iletişim platformlarındaki önceki iletişimlere erişim hakkı vermez ancak hesaplar, Slack, Notion, Zoom, ChatGPT ve çeşitli insan kaynakları (İK) platformları gibi hizmetlere yeniden giriş yapmak için kullanılabilir.
Araştırmacı, kullanımdan kaldırılmış bir alan adı satın alarak ve SaaS platformlarına erişerek, İK sistemlerinden hassas verileri (vergi belgeleri, sigorta bilgileri ve sosyal güvenlik numaraları) çıkarmanın ve çeşitli hizmetlere (örn. ChatGPT, Slack, Notion, Yakınlaştır).
Ayrey, Crunchbase veri tabanını inceleyerek, terk edilmiş bir alan adına sahip, şu anda faaliyet göstermeyen startup’ları inceleyerek, 116.481 alan adının mevcut olduğunu keşfetti.
Google’ın OAuth sisteminde, bir alt hak talebinin amacı, oturum açma işlemleri genelinde her kullanıcı için benzersiz ve değişmez bir tanımlayıcı sağlamak; potansiyel alan adı veya e-posta sahipliği değişikliklerine rağmen kullanıcıları tanımlamak için kesin bir referans görevi görmektir.
Ancak araştırmacının açıkladığı gibi, alt iddiada kabaca %0,04’lük bir tutarsızlık oranı var ve bu da Slack ve Notion gibi alt hizmetlerin bunu tamamen göz ardı etmesine ve yalnızca e-postaya ve barındırılan alan adı taleplerine güvenmeye zorluyor.
Kaynak: Trufflesecurity
E-posta talebi kullanıcının e-posta adresine, barındırılan alan adı talebi ise alan sahipliğine bağlıdır; böylece her ikisi de, SaaS platformlarında eski çalışanların kimliğine bürünebilecek yeni sahiplere devredilebilir.
Araştırmacıların önerdiği çözümlerden biri, Google’ın, benzersiz ve kalıcı bir kullanıcı kimliği ve orijinal kuruluşa bağlı benzersiz bir çalışma alanı kimliği gibi değişmez tanımlayıcılar sunmasıdır.
SaaS sağlayıcıları ayrıca alan adı kayıt tarihlerinin çapraz referanslanması, hesap erişimi için yönetici düzeyinde onayların zorunlu kılınması veya kimlik doğrulama için ikincil faktörler kullanılması gibi ek önlemleri de uygulayabilir.
Ancak bu önlemler maliyetlere, teknik zorluklara ve oturum açma anlaşmazlıklarına neden oluyor. Üstelik, şu anda ödeme yapmayan eski müşterileri koruyacaklardır, dolayısıyla bunları uygulamaya yönelik teşvik düşüktür.
Sürekli büyüyen bir risk
Sorun milyonlarca insanı ve binlerce şirketi etkiliyor ve zamanla daha da büyüyor.
Trufflesecurity raporu, başarısız girişimlerde satın alınabilecek alan adlarına sahip milyonlarca çalışan hesabının olabileceğini belirtiyor.
Şu anda teknoloji girişimlerinde çalışan altı milyon Amerikalı var ve bunların %90’ının önümüzdeki yıllarda istatistiksel olarak iflas etmesi bekleniyor.
Bu şirketlerin yaklaşık %50’si e-posta için Google Workspace’i kullanıyor, dolayısıyla çalışanları Gmail hesaplarını kullanarak üretkenlik araçlarına giriş yapıyor.
Bunların arasındaysanız, startup’tan ayrılırken hassas verileri hesaplardan kaldırdığınızdan emin olun ve gelecekte bu tür risklere maruz kalmayı önlemek için kişisel hesap kayıtları için iş hesaplarını kullanmaktan kaçının.