Pull to refresh

Comments 12

ничего не понятно: я авторизовывался на разных сайтах через google делясь свои имейлом, именем, картинкой, как владельцы сайта (новые) могут извлечь другие данные с других сервисов, на которые я авторизовывался через google?

А теперь представьте, что то же самое вы делаете при помощи user@company.com (почта для домена company.com обслуживается через Google Workspace). Злоумышленник, купив неактивный домен company.com, может снова начать хостить почту для него в Google Workspace, потом создать учетные записи, которые ранее использовались для входа в сторонние сервисы.

Но при чем тут OAuth? И так если регистрируется, скажем, с рабочей почты, потом компания разорится и этот домен выкупит злоумышленник, он сможет воссоздать там исходный почтовый ящик.

Да и сами сервисы бесплатной почты через какое-то время не активности удаляют почтовые ящики пользователей и часто их можно зарегистрировать заново с тем же адресом

"Создание таких клонов не даёт новым владельцам доступа к предыдущим сообщениям, но эти аккаунты могут использоваться для повторного входа в такие сервисы, как Slack, Notion, Zoom, ChatGPT и на различные платформы по работе с персоналом.

Уязвимость в системе OAuth Google позволяет некоторым сервисам игнорировать уникальные идентификаторы учётных записей. Примерно в 0,04% случаев они полностью полагаются на электронную почту и размещённый домен, за которыми могут скрываться новые владельцы, выдающие себя за бывших сотрудников."

используют форму восстановление доступа указывая электронную почту на захваченном домене

Это-то понятно. Но статья именно про риски Google OAuth — это когда для входа на сторонний сервис ты используешь свою авторизацию в Google.

Насколько я правильно понял, если тебе на работе выдали рабочую учётку с почтой, а ты зарегистрировался под этой почтой на каких-то сервисах для личных целей, то в будущем владелец домена сможет зайти под твоей учёткой на те сервисы, которые опоздают тебя через Google OAuth через email.

В общем вывод вполне очевидный: не регистрируйся под рабочей учёткой на сервисах для личного пользования)

Статья написана/скопирована унылым ушлепком, который поленился объяснить ВСЁ!

поэтому не удивляйтесь— это просто набор слов ради галочки от неродивого журналиста…

Сами посудите, первый абзац:

Уязвимость функции Google OAuth «Войти через Google» может позволить злоумышленникам при регистрации доменов несуществующих стартапов получить доступ к конфиденциальным данным бывших учётных записей сотрудников, связанных с различными платформами программного обеспечения как услуги (SaaS).

Вы что-то поняли? Я то понял поломав голову, но мне оно надо было? Я что захожу новости почитать с утра, в ожидании перелома черепа? Нет, я хочу пролистать нормально описанный материал. Короче. Всем утра

Ну то есть уязвимость в том, что кто то может купить домен уже не существующей компании, создать почту сотрудника не существующей компании и зайти через Google аутентификацию в какой либо сторонний сервис.
Но почему проблема в Гугле? Это сторонний сервис использует только почту для идентификации пользователя. Гугл же предоставляет уникальный идентификатор в клейме sub, как и требует стандарт.
В оригинальной статье об этом тоже написано, но потом заявляется что sub может меняться со временем. Если это действительно так - то это и нужно чинить. Но никак не добавлять ещё 2 клейма в токены, которые будут дублировать функционал sub.

В оригинальной статье написано про некую неконсистентность sub клейма

According to a staff engineer at a major tech company:

“The sub claim changes in about 0.04% of logins from Log in with Google. For us, that's hundreds of users last week”.

Исследователи предложили Google внедрить неизменяемые идентификаторы пользователей и уникальные идентификаторы рабочего пространства, привязанные к исходной организации.

Блин, серьёзно что ли? У них это не было сделано изначально?

Sign up to leave a comment.

Other news