Comments 12
ничего не понятно: я авторизовывался на разных сайтах через google делясь свои имейлом, именем, картинкой, как владельцы сайта (новые) могут извлечь другие данные с других сервисов, на которые я авторизовывался через google?
А теперь представьте, что то же самое вы делаете при помощи user@company.com (почта для домена company.com обслуживается через Google Workspace). Злоумышленник, купив неактивный домен company.com, может снова начать хостить почту для него в Google Workspace, потом создать учетные записи, которые ранее использовались для входа в сторонние сервисы.
Но при чем тут OAuth? И так если регистрируется, скажем, с рабочей почты, потом компания разорится и этот домен выкупит злоумышленник, он сможет воссоздать там исходный почтовый ящик.
Да и сами сервисы бесплатной почты через какое-то время не активности удаляют почтовые ящики пользователей и часто их можно зарегистрировать заново с тем же адресом
"Создание таких клонов не даёт новым владельцам доступа к предыдущим сообщениям, но эти аккаунты могут использоваться для повторного входа в такие сервисы, как Slack, Notion, Zoom, ChatGPT и на различные платформы по работе с персоналом.
Уязвимость в системе OAuth Google позволяет некоторым сервисам игнорировать уникальные идентификаторы учётных записей. Примерно в 0,04% случаев они полностью полагаются на электронную почту и размещённый домен, за которыми могут скрываться новые владельцы, выдающие себя за бывших сотрудников."
используют форму восстановление доступа указывая электронную почту на захваченном домене
Насколько я правильно понял, если тебе на работе выдали рабочую учётку с почтой, а ты зарегистрировался под этой почтой на каких-то сервисах для личных целей, то в будущем владелец домена сможет зайти под твоей учёткой на те сервисы, которые опоздают тебя через Google OAuth через email.
В общем вывод вполне очевидный: не регистрируйся под рабочей учёткой на сервисах для личного пользования)
Статья написана/скопирована унылым ушлепком, который поленился объяснить ВСЁ!
поэтому не удивляйтесь— это просто набор слов ради галочки от неродивого журналиста…
Сами посудите, первый абзац:
Уязвимость функции Google OAuth «Войти через Google» может позволить злоумышленникам при регистрации доменов несуществующих стартапов получить доступ к конфиденциальным данным бывших учётных записей сотрудников, связанных с различными платформами программного обеспечения как услуги (SaaS).
Вы что-то поняли? Я то понял поломав голову, но мне оно надо было? Я что захожу новости почитать с утра, в ожидании перелома черепа? Нет, я хочу пролистать нормально описанный материал. Короче. Всем утра
[del]
Ну то есть уязвимость в том, что кто то может купить домен уже не существующей компании, создать почту сотрудника не существующей компании и зайти через Google аутентификацию в какой либо сторонний сервис.
Но почему проблема в Гугле? Это сторонний сервис использует только почту для идентификации пользователя. Гугл же предоставляет уникальный идентификатор в клейме sub, как и требует стандарт.
В оригинальной статье об этом тоже написано, но потом заявляется что sub может меняться со временем. Если это действительно так - то это и нужно чинить. Но никак не добавлять ещё 2 клейма в токены, которые будут дублировать функционал sub.
Исследователи предложили Google внедрить неизменяемые идентификаторы пользователей и уникальные идентификаторы рабочего пространства, привязанные к исходной организации.
Блин, серьёзно что ли? У них это не было сделано изначально?
Миллионы аккаунтов оказались уязвимы из-за Google OAuth