Sigurnosna ranjivost u Googleovoj OAuth funkciji “Prijavi se s Googleom”
Iskustva stručnjaka otkrila su ranjivost u Googleovoj OAuth funkciji “Prijavi se s Googleom”, koja bi mogla omogućiti malicioznim akterima pristup osjetljivim podacima tvrtki koje su prestale s radom. Iako je Google prepoznao ovu manu, kompanija ne poduzima značajne mjere za rješavanje problema, ističući da na poslovnim subjektima leži odgovornost za sigurnost podataka koje ostavljaju iza sebe.
Kako je otkrivena ranjivost
Ranjivost je prvi put primijetila ekipa sigurnosnih istraživača iz Trufflesecurity-a, koji su obavijestili Google krajem rujna 2024. Međutim, tek nakon što je izvršni direktor i suosnivač tvrtke, Dylan Ayrey, predstavio ovaj problem na Shmoocon-u u prosincu 2024. godine, Google je reagirao.
Primjer ranjivosti
U teoriji, funkcija djeluje na sljedeći način:
- Tvrtka se registrira za HR uslugu koristeći svoju poslovnu e-mail adresu putem opcije “Prijavi se s Googleom”.
- Taj sustav koristi za različite svrhe, poput ugovora sa zaposlenicima, isplata i drugo.
- Nakon nekog vremena, tvrtka prestaje s radom i ukida svoju domenu.
- Maliciozni akter zatim registrira istu domenu i ponovno kreira istu e-mail adresu koja je korištena za prijavu u HR uslugu.
- Na kraju, oni se prijavljuju u račun na HR platformi i imaju pristup svim informacijama i datotekama koje su ostavljene iza.
Preporuke za sigurnost
Kako bi se izbjegle ovakve situacije, preporučuje se da korisnici pravilno zatvaraju domene nakon korištenja, slijedeći odgovarajuće upute. Također, pružatelji trećih aplikacija trebali bi slijediti najbolje prakse korištenjem jedinstvenih identifikatora računa kako bi umanjili ovaj rizik.
Prijedlozi za poboljšanje sigurnosti
Ayrey je sugerirao da Google uvede nepromjenjive identifikatore kako bi se dodatno osigurala računalna infrastruktura, dok bi SaaS pružatelji mogli dodati međusobno uvažavanje datuma registracije domena. Google, s druge strane, tvrdi da je cjelokupno istraživanje izazvalo konfuziju jer rizik zapravo ne bi trebao biti značajan:
“Primijetili smo konfuziju u vezi s našim početnim odgovorom istraživaču. Da budemo jasni: ispravka nije bila potrebna jer su već postavljene jake zaštitne mjere. ‘Sub’ polje je nepromjenjivi identifikator za koji istraživač traži – snažno potičemo developere da ga koriste radi dodatne zaštite.”
Zaključak
Ranjivost u Googleovoj OAuth “Prijavi se s Googleom” funkciji ukazuje na važnost sigurnosti podataka, posebno za tvrtke koje se zatvaraju. Poduzeća moraju biti svjesna odgovornosti za vlastite podatke i poduzeti mjere za zaštitu svojih informacija. Ova situacija naglašava potrebu za stalnim unapređenjem zaštitnih mjera kako bi se smanjili rizici i zaštitili osjetljivi podaci od potencijalne zloupotrebe.
