Kimlik & Erişim Yönetimi, Güvenlik Operasyonları
Google, Platformların E-postaları Benzersiz Tanımlayıcılar Olarak Kullanmaması Gerektiğini Söyledi
Prajeet Nair (@prajeetspeaks) •
16 Ocak 2025
Bir güvenlik araştırmacısı, başarısız girişimlere ait terk edilmiş çevrimiçi alan adlarını satın aldı ve e-posta adreslerini yeniden oluşturabildiğini ve kapatılan şirketler tarafından toplanan hassas bilgileri içeren üçüncü taraf hizmetlerine erişebildiğini keşfetti.
Ayrıca bakınız: Kodu Kırmak: Makine Kimliklerini Korumak
Araştırmacı Dylan Ayrey Çarşamba günü, İK platformları ve Slack gibi hizmetlere “Google ile Oturum Aç” ile oturum açarak erişebildiğini yazdı. Erişebildiği belgeler arasında vergi belgeleri, maaş makbuzları ve Sosyal Güvenlik numaraları vardı.
Bir blog yazısında güvenlik hatasının, Google’ın kimlik doğrulama yöntemi olarak alan adı sahipliği ve e-posta adreslerini kullanmasından kaynaklandığını öne sürdü. Ayrey, Slack gibi üçüncü taraf bir hizmetin bakış açısından “alan adı üzerindeki sahiplik değişikliklerinin farklı görünmeyeceğini” ileri sürdü.
Google aksini iddia ediyor: sorunun, e-posta tanımlayıcılarının, alan adı sahipliğindeki değişikliklerle birlikte hareket etmeyen başka bir Google Oturum Açma benzersiz kimlik belirteci tanımlayıcısının yerini almasına izin veren üçüncü taraf hizmetlerinden kaynaklandığını söylüyor. sub alan.
Ayrey alt alanın tutarsız olduğunu yazdı. Büyük bir teknoloji şirketindeki personel mühendisi, kendisine alt tanımlayıcıların oturum açma işlemlerinin yaklaşık %0,04’ünde değiştiğini söyledi; bu küçük bir yüzde ancak büyük bir kuruluşta bu, haftada yüzlerce hesap kilitleme anlamına gelebilir.
Bir Google sözcüsü, “Bu konuyla ilgili her türlü materyali memnuniyetle inceleyeceğiz, ancak alt alanın değişmez ve benzersiz bir tanımlayıcı olmadığı iddiasını destekleyecek hiçbir kanıt görmedik” dedi.
Ayrey, sorunu işaretlemek için Eylül 2024’te Google ile ilk iletişime geçtiğinde şirketin sorunu bir hata olarak takip etmeyeceğini söylediğini yazdı. Ayrey, Google’ın kendisine Google ile oturum açmanın “amaçlandığı gibi çalıştığını” söylediğini söyledi.
Araştırması bu ayın başlarında Shmoocon konferansında sunulmak üzere kabul edildikten sonra, Google ona 1337 dolar ödül verdi; bu rakam leetspeak dilinde “elit” anlamına geliyor; bu, bilgisayar meraklıları arasında klavye sayılarını ve sembollerini harflerle karıştırmak için bir zamanlar moda olan bir yöntem.
Google, yaptığı açıklamada müşterilere Google Workspace aboneliklerini iptal etmeleri için mağazayı kapatmalarını tavsiye ettiğini söyledi. Ayrıca, e-posta hesaplarının benzersiz kullanıcı tanımlayıcıları olarak kullanılmaması gerektiği yönündeki uyarıları da güçlendirdi.
Google sözcüsü, “Açık olmak gerekirse, güçlü ve uygun bir koruma zaten mevcut olduğundan herhangi bir düzeltme gerekli değildi” dedi.
Bilgi Güvenliği Medya Grubu’ndan Washington DC’deki David Perera’nın raporuyla