Bir Google Workspace güvenlik açığı, bilgisayar korsanlarının e-posta doğrulamasını atlatmasının ardından binlerce hesabı ifşa etti. Workspace hesabınızı benzer saldırılardan nasıl koruyacağınızı öğrenin.
Google, bilgisayar korsanlarının bulut tabanlı üretkenlik platformu Google Workspace’te bir güvenlik açığı keşfetmesinin ardından bir güvenlik sorunuyla karşı karşıya kaldı. Güvenlik araştırmacısı Brian Krebs tarafından açıklanan kimlik doğrulama atlama sorunu, saldırganların Workspace hesapları oluşturmasına ve “Google ile oturum aç” kimlik doğrulama seçeneği sunan üçüncü taraf hizmetlerine erişmesine olanak tanıdı ve potansiyel olarak binlerce kullanıcının hassas verilerini tehlikeye attı.
Güvenlik açığı, kullanıcının e-posta kimliğinin gerçekten kendisine ait olduğundan emin olan bir işlem olan Google Workspace hesabı oluşturma sırasında e-posta doğrulama adımında bulunuyordu. Krebs’in raporuna göre saldırganlar, bu doğrulamayı tamamen atlatan Google Docs gibi ayrı hizmetler için Workspace’in ücretsiz denemesini suistimal edebildiler.
Gmail gibi Workspace kullanıcılarının iş e-posta kimlikleriyle bağlantılı alan adlarını kontrol etmesini gerektiren hizmetlerin bu kusurdan etkilenmediğini belirtmekte fayda var.
Workspace’in kötüye kullanım ve güvenlik korumaları direktörü Anu Yamunan, “Buradaki vektör, oturum açmaya çalışmak için bir e-posta adresi ve bir belirteci doğrulamak için tamamen farklı bir e-posta adresi kullanmalarıdır” şeklinde açıkladı.
Bu atlama, saldırganların herhangi bir e-posta adresini kullanarak Workspace hesapları oluşturmasına ve esasen diğer şirketleri veya kişileri taklit etmesine olanak sağladı. Ancak gerçek tehlike, Google’ın “Google ile oturum aç” tek oturum açma (SSO) özelliğini kullanarak bu hesaplara bağlı üçüncü taraf hizmetlerine erişebilme yeteneğinde yatıyordu.
Google, Krebs’e söz konusu güvenlik açığının yaygın olarak kullanıldığını doğruladı ve kötü niyetli kişilerin, özel olarak oluşturulmuş bir istek kullanarak E-posta Doğrulamalı (EV) Google Workspace hesapları için hesap oluşturma akışındaki e-posta doğrulama adımını atlattığı “küçük ölçekli bir kötüye kullanım kampanyası” tespit etti.
Etkilenen hesapların tam sayısı henüz net olmasa da Google, Haziran ayı sonlarında tespit edilen küçük ölçekli kampanyada “birkaç bin” kişinin etkilendiğini kabul ediyor. Şirket, sorunun keşfedilmesinden itibaren 72 saat içinde düzeltildiğini ve benzer istismarları önlemek için ek önlemlerin uygulandığını garanti ediyor.
Google, bu kimlik doğrulama atlama hatasının, Squarespace’e geçiş sırasında tehlikeye atılan kripto para tabanlı alan adlarını içeren ve yakın zamanda düzeltilen başka bir sorunla bağlantısının olmadığını belirtiyor.
Bilginize, 12 Temmuz’da henüz hesaplarını kurmamış olan Squarespace kullanıcıları, kripto para işletmelerine bağlı alan adları tarafından ele geçirildi. Squarespace, saldırıları saatler içinde çözülen OAuth oturum açma işlemleriyle ilgili bir zayıflığa bağladı.
Bilgisayar korsanları artık Google gibi yerleşik platformları bile daha sık hedef alıyor. Bu nedenle, Google Workspace kullanan işletmeler varsayılan doğrulama adımlarının ötesinde düşünmelidir. Çok faktörlü kimlik doğrulamayı (MFA) uygulamak, yetkisiz erişimi daha zor hale getiren önemli bir katmandır.
Google Workspace Güvenlik İhlali Hakkında Uzman Görüşleri
Son güvenlik ihlalinin ışığında, Synopsys Yazılım Bütünlüğü Grubu’ndan bir bulut güvenliği yetkilisi olan Sakthi Mohan, konuyla ilgili uzman analizini paylaşıyor. Mohan, “Google Workspace’teki, bilgisayar korsanlarının e-posta doğrulama süreçlerini atlatmalarına izin veren güvenlik açığı, bulut tabanlı kimlik doğrulama sistemlerinin karşılaştığı sürekli zorluklara ışık tutuyor,” diyor. “Bu olay, yalnızca sağlam güvenlik protokollerine olan kritik ihtiyacı değil, aynı zamanda kullanıcı verilerini korumak için sürekli tetikte olmanın önemini de vurguluyor.”
Mohan, Google’ın yanıtına ilişkin şu yorumu yaptı: “Google’ın bu güvenlik açığının vahşi doğada istismarını doğrulamak ve ele almak için hızlı bir şekilde harekete geçmesi, güvenlik önlemlerinde devam eden iyileştirmelerin gerekliliğinin bir kanıtıdır. Tek oturum açma (SSO) hizmetlerini kullanan kuruluşların kimlik doğrulama süreçlerini titizlikle test etmeleri ve rutin olarak denetlemeleri zorunludur. Dahası, çok faktörlü kimlik doğrulamayı (MFA) benimsemek, bu tür tehditlerin potansiyel etkisini önemli ölçüde azaltarak ek bir savunma hattı görevi görebilir.”
Mohan, işletmelere ve BT uzmanlarına bu olayı kimlik doğrulama stratejilerini yeniden değerlendirmek ve güçlendirmek için bir uyarı çağrısı olarak almalarını öneriyor. “Güvenlik ekipleri bu fırsatı Google Workspace yapılandırmalarını daha sıkı kontrol önlemleriyle güçlendirmek için kullanmalı,” diyor. “Kuruluşlar, çalışanlar arasında güvenlik farkındalığı ve eğitimi teşvik ederek, şüpheli faaliyetleri tespit edip azaltabilen daha dayanıklı bir güvenlik kültürü oluşturabilir.”
İLGİLİ KONULAR
- Google Workspace Kusurları Ağ Genelinde İhlallere Yol Açıyor
- Dolandırıcılar Yeni BazarCall Saldırısında Google Formlarını Silah Olarak Kullanıyor
- Yanlış yapılandırılmış Google Grupları Ayarları Hassas Verileri Sızdırıyor
- Google Kubernetes Motoru Kusurları Küme Devralmalarına İzin Verebilir
- OAuth2 İşlevselliği Aracılığıyla Google Çerez İstismarını Kullanan Kötü Amaçlı Yazılım