Kimlik & Erişim Yönetimi, Güvenlik Operasyonları
Google, Platformların E-postaları Benzersiz Tanımlayıcılar Olarak Kullanmaması Gerektiğini Söyledi
Prajeet Nair (@prajeetspeaks) •
16 Ocak 2025
Bir güvenlik araştırmacısı, başarısız girişimlere ait terk edilmiş çevrimiçi alan adlarını satın aldı ve e-posta adreslerini yeniden oluşturabildiğini ve kapatılan şirketler tarafından toplanan hassas bilgileri içeren üçüncü taraf hizmetlerine erişebildiğini keşfetti.
Ayrıca bakınız: Kodu Kırmak: Makine Kimliklerini Korumak
Araştırmacı Dylan Ayrey Çarşamba günü, İK platformları ve Slack gibi hizmetlere “Google ile Giriş Yap” veya “Google OAuth” ile giriş yaparak erişebildiğini yazdı. Erişebildiği kayıtlar arasında vergi belgeleri, maaş bordroları ve Sosyal Güvenlik numaraları yer alıyor.
Bir blog yazısında güvenlik hatasının, Google’ın kimlik doğrulama yöntemi olarak alan adı sahipliği ve e-posta adreslerini kullanmasından kaynaklandığını ileri sürdü. Ayrey, kimlik doğrulama için “Google ile Oturum Aç” seçeneğini kullanan Slack gibi üçüncü taraf bir hizmet açısından bakıldığında, “alan adı üzerindeki sahiplik değişikliklerinin farklı görünmeyeceğini” ileri sürdü.
Google aksini iddia ediyor: sorunun, e-posta tanımlayıcılarının, alan adı sahipliğindeki değişikliklerle birlikte hareket etmeyen “Google ile Oturum Açma” için başka bir benzersiz kimlik belirteci tanımlayıcısının yerini almasına izin veren üçüncü taraf hizmetlerinden kaynaklandığını söylüyor. sub alan.
Ayrey alt alanın tutarsız olduğunu yazdı. Büyük bir teknoloji şirketindeki personel mühendisi, kendisine alt tanımlayıcıların oturum açma işlemlerinin yaklaşık %0,04’ünde değiştiğini söyledi; bu küçük bir yüzde ancak büyük bir kuruluşta bu, haftada yüzlerce hesap kilitleme anlamına gelebilir.
Bir Google sözcüsü, “Bu konuyla ilgili her türlü materyali memnuniyetle inceleyeceğiz, ancak alt alanın değişmez ve benzersiz bir tanımlayıcı olmadığı iddiasını destekleyecek hiçbir kanıt görmedik” dedi.
Ayrey, sorunu işaretlemek için Eylül 2024’te Google ile ilk iletişime geçtiğinde şirketin sorunu bir hata olarak takip etmeyeceğini söylediğini yazdı. Ayrey, Google’ın kendisine “Google ile oturum aç” özelliğinin “amaçlandığı gibi çalıştığını” söylediğini söyledi.
Araştırması bu ayın başlarında Shmoocon konferansında sunulmak üzere kabul edildikten sonra, Google ona 1337 dolar ödül verdi; bu rakam leetspeak dilinde “elit” anlamına geliyor; bu, bilgisayar meraklıları arasında klavye sayılarını ve sembollerini harflerle karıştırmak için bir zamanlar moda olan bir yöntem.
Google, yaptığı açıklamada müşterilere Google Workspace aboneliklerini iptal etmeleri için mağazayı kapatmalarını tavsiye ettiğini söyledi. Ayrıca, e-posta hesaplarının benzersiz kullanıcı tanımlayıcıları olarak kullanılmaması gerektiği yönündeki uyarıları da güçlendirdi.
Google sözcüsü, “Açık olmak gerekirse, güçlü ve uygun bir koruma zaten mevcut olduğundan herhangi bir düzeltme gerekli değildi” dedi.
Bilgi Güvenliği Medya Grubu’ndan Washington DC’deki David Perera’nın raporuyla