Google’ın “Google ile Oturum Aç” kimlik doğrulama sistemindeki kritik bir kusur, milyonlarca Amerikalıyı potansiyel veri hırsızlığına karşı savunmasız bıraktı.
Bu güvenlik açığı esas olarak startupların eski çalışanlarını, özellikle de faaliyetlerini durdurmuş olanları etkiliyor.
Truffle Security’ye göre bunun temel nedeni, Google’ın OAuth girişinin alan adı sahipliği değişiklikleriyle nasıl etkileşimde bulunduğundan kaynaklanıyor.
Bir startup başarısız olduğunda ve alan adı satın alınabilir hale geldiğinde, bu alan adını satın alan herkes potansiyel olarak eski çalışanlar için e-posta hesaplarını yeniden oluşturabilir.
Yeniden oluşturulan bu hesaplar eski e-posta verilerine erişemese de, kuruluş tarafından daha önce kullanılan çeşitli SaaS ürünlerinde oturum açmak için kullanılabilir.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
Bu sorunun ciddiyetini göstermek için bir güvenlik araştırmacısı, artık kullanılmayan bir startup’ın alan adını satın aldı ve aşağıdakiler de dahil olmak üzere birden fazla hizmette başarıyla oturum açtı:
- SohbetGPT
- Gevşek
- fikir
- Yakınlaştır
- İK sistemleri (sosyal güvenlik numaralarını içeren)
En endişe verici ihlaller vergi belgeleri, maaş bordroları, sigorta ayrıntıları ve sosyal güvenlik numaraları gibi hassas bilgileri barındıran İK sistemlerinde yaşandı.
Mülakat platformları ayrıca aday geri bildirimleri ve işe alım kararları hakkında gizli veriler de içeriyordu. Sohbet platformları özel mesajları ve diğer hassas iletişimleri açığa çıkardı.
Bu güvenlik açığının boyutu şaşırtıcıdır:
- Yaklaşık 6 milyon Amerikalı şu anda teknoloji startuplarında çalışıyor
- Teknoloji girişimlerinin %90’ı sonunda başarısız oluyor
- Bu girişimlerin %50’si e-posta için Google Workspace’e güveniyor
Crunchbase’in startup veri setinin analizi, şu anda satın alınabilen başarısız startuplara ait 100.000’den fazla alan adını ortaya çıkardı.
Başlangıç ömrü başına ortalama 10 çalışanın ve 10 farklı SaaS hizmetinin kullanıldığı varsayıldığında, bu güvenlik açığı potansiyel olarak 10 milyondan fazla hesaptaki hassas verileri açığa çıkarabilir.
Sorunun özü, Slack gibi servis sağlayıcıların kullanıcı kimlik doğrulamasını nasıl belirlediklerinde yatıyor. Genellikle Google’ın OAuth’undan gelen iki hak talebine dayanırlar: HD (barındırılan alan) talebi ve e-posta talebi.
HD talebi, belirli bir alan adındaki herkese erişime izin verirken, e-posta talebi, kullanıcıları kendi özel hesaplarına kaydeder. Ancak alan adı sahipliği değiştiğinde bu hak talepleri aynı kalır ve yeni sahiplere eski çalışan hesaplarına erişim hakkı verilir.
Google’a önerilen potansiyel bir çözüm, OpenID Connect (OIDC) iddialarında iki değişmez tanımlayıcının uygulanmasını içerir:
- Zaman içinde sabit kalan benzersiz bir kullanıcı kimliği
- Etki alanına bağlı benzersiz bir çalışma alanı kimliği
Araştırmacının bu güvenlik açığını Google’ın güvenlik ekibine bildirmesine rağmen ilk yanıt, durumu “Düzeltilemez” olarak işaretlemek oldu. Ancak sorun daha geniş çapta dikkat çektikten sonra Google davayı yeniden açtı.
Şu an itibariyle bu güvenlik açığına yönelik kapsamlı bir düzeltme bulunmuyor. Slack gibi alt sağlayıcılar, Google önerilen OIDC iddialarını uygulamadığı sürece bu soruna karşı tam koruma sağlayamaz.
Startup’ların eski çalışanları, şirketten ayrıldıktan sonra veri koruma üzerindeki kontrollerini kaybederler ve onları startup’ın geleceği ve alan adı sahipliğinin insafına bırakırlar.
Bu güvenlik açığı, daha sağlam kimlik doğrulama sistemlerine olan ihtiyacın altını çiziyor ve üçüncü taraf oturum açma hizmetlerine güvenmenin olası risklerini vurguluyor.
Teknoloji sektörü gelişmeye devam ederken, Google gibi şirketlerin, kullanıcıların hassas bilgilerini korumak ve hizmetlerine olan güveni sürdürmek için bu güvenlik açıklarını derhal ele alması hayati önem taşıyor.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!