- Comprar dominios de empresas desaparecidas podría darles acceso a sus cuentas SaaS, sugiere una investigación
- Google dice que no es una vulnerabilidad y que las empresas deben asegurarse de no dejar atrás información confidencial.
- Los investigadores sugieren salvaguardias adicionales
Los expertos han encontrado una vulnerabilidad en la función OAuth “Iniciar sesión con Google” de Google que podría permitir a actores malintencionados acceder a datos confidenciales pertenecientes a empresas cerradas.
Google ha reconocido la falla, pero no está haciendo mucho para solucionarla, sino que dice que depende de las empresas garantizar la seguridad de los datos que dejan atrás.
La vulnerabilidad fue descubierta por primera vez por investigadores de seguridad de Trufflesecurity, quienes informaron a Google a fines de septiembre de 2024. Sin embargo, no fue hasta que el director ejecutivo y fundador de la compañía, Dylan Airey, presentó el problema en Smoocon en diciembre de 2024 que Google respondió.
Google ofrece descuentos
Así es como funciona, en teoría:
Una empresa se registra en Recursos Humanos utilizando su cuenta de correo electrónico empresarial y la función “Iniciar sesión con Google”. Utiliza Recursos Humanos para cosas como contratos de empleados, pagos y más. Algún tiempo después, la empresa cierra y luego, se cancela el dominio. un actor malintencionado registra el mismo dominio y recrea la misma dirección de correo electrónico utilizada para iniciar sesión en el servicio de recursos humanos.
Luego proceden a iniciar sesión en la plataforma de Recursos Humanos, donde pueden acceder a toda la información y los archivos que quedan.
Google otorgó a Trufflesecurity una pequeña recompensa, pero decidió no buscar una solución: “Apreciamos la ayuda de Dylan Airey para identificar los riesgos de que los clientes se olviden de eliminar los servicios SaaS de terceros como parte de su desaprobación”, dijo un representante de Google. pitidocomputadora.
“Como práctica recomendada, recomendamos que los clientes cierren correctamente los dominios de acuerdo con estas instrucciones para que este tipo de problema sea imposible. Además, alentamos a las aplicaciones de terceros a seguir las mejores prácticas mediante el uso de identificadores únicos de (sub)cuenta para mitigar este problema. riesgo “.
En otras palabras, depende de las empresas asegurarse de no dejar datos residuales.
Airey señala que un vistazo rápido a Crunchbase arroja más de 100.000 dominios de los que se puede abusar de esta manera. Sugirió que Google introduzca identificadores inmutables, mientras que los proveedores de SaaS agreguen fechas de registro entre dominios.
a través de pitidocomputadora
