Korzystanie z „Zaloguj się za pomocą Google” może doprowadzić do utraty konta

W protokole OAuth Google używanym do logowania na zewnętrznych stronach odkryto poważne luki zabezpieczeń. Problem dotyczy przejmowania niedziałających domen i wykorzystania ich do uzyskania dostępu do poufnych informacji.

Czym jest OAuth?

Żeby zrozumieć problem i jego skalę, trzeba wiedzieć, jak działa autoryzacja konta Google podczas logowania się na konkretnym portalu.

Najprościej mówiąc OAuth to pośrednik pomiędzy użytkownikiem a aplikacją, bądź platformą. Jego głównym zadaniem jest „dogadanie” stron w sprawie twoich danych, ale ograniczając się głównie do imienia, nazwiska i adresu e-mail. Standard ten jest wykorzystywany m.in. przez Amazon, Google, Facebook, Microsoft oraz X.

Jak wykorzystywana jest odkryta luka?

Problem leży w sposobie, w jaki system logowania OAuth firmy współdziała z prawem własności domen, umożliwiając nabywcom wykorzystywanie niedziałających stron WWW i uzyskiwanie nieautoryzowanego dostępu do poufnych kont. To nie pierwsza sytuacja w ostatnich tygodniach, gdzie hakerzy wykorzystywali błędy w zabezpieczeniach Google.

Jeśli startup lub firma zostanie zamknięta, a jego domena stanie się dostępna do kupienia, atakujący mogą ją nabyć, odtworzyć konta e-mail byłych pracowników i użyć ich do logowania się na różnych platformach SaaS (Software as a Service) służących do dostarczania oprogramowania lub usługi poprzez chmurę.

Choć hakerzy nie mają dostępu do starych wiadomości e-mail, mogą wykorzystać przywrócone konta, aby uzyskać dostęp do poufnych informacji przechowywanych w usługach takich jak systemy kadrowe, platformy czatów i narzędzia do przeprowadzania rozmów kwalifikacyjnych.

Jaka jest prawdziwa skala problemu?

Korzystając z danych Crunchbase i ograniczając wyszukiwanie do zamkniętych firm, można zauważyć ponad 160 000 niedziałających domen dostępnych do kupienia. Zakładając, że każda firma miała 5 pracowników, którzy korzystali z 10 różnych usług SaaS w trakcie swojego zatrudnienia, to wtedy ten błąd w zabezpieczeniach mógłby ujawnić dane ponad 8 milionów kont.

Wiele platform opiera się wyłącznie na e-mailach i roszczeniach domenowych w celu uwierzytelnienia. Gdy własność domeny zmienia właściciela, roszczenia te pozostają ważne, skutecznie udzielając atakującym dostępu.

Proponowane poprawki i odpowiedź Google

Ekspert, który wykrył problem, zasugerował, aby Google wprowadziło dwa stałe identyfikatory do systemu OpenID Connect (OIDC): jeden przypisany niezmiennie do użytkownika oraz drugi, unikalny dla obszaru roboczego powiązanego z konkretną domeną. Początkowo Google odrzuciło zgłoszenie, uznając je za kwestię związaną z „oszustwami i nadużyciami”, a nie za lukę w zabezpieczeniach OAuth.

Jednak po prelekcji badacza na konferencji ShmooCon w grudniu 2024 r. firma zmieniła swoje stanowisko, ponownie otworzyła sprawę i przyznała mu nagrodę w wysokości 1337 dolarów. Chociaż ten krok ze strony Google budzi nadzieje, szybkie działania są kluczowe, ponieważ niezałatane luki nadal stwarzają ryzyko wykorzystania przez cyberprzestępców.

Jak możesz uniknąć utraty konta?

Zachowuj ostrożność i korzystaj rozważnie z funkcji „Zaloguj się przez Google”, zawsze sprawdzając, czy strona oferuje uwierzytelnianie dwuskładnikowe (2FA) oraz czy dostawca zapewnia dodatkowe usługi, takie jak weryfikacja za pomocą kodu SMS. Dopóki Google nie wdroży odpowiednich rozwiązań, miliony kont powiązanych z upadłymi startupami lub firmami będą narażone na ryzyko nieautoryzowanego dostępu i kradzieży danych.

Oprac. Patryk Piwnicki, redaktor Android.com.pl

Źródło: oprac. własne, CybersecurityNews. Zdjęcie otwierające: Fot. Edycja własna / Pixabay

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Artykuł Korzystanie z „Zaloguj się za pomocą Google” może doprowadzić do utraty konta pochodzi z serwisu ANDROID.COM.PL - społeczność entuzjastów technologii.