Un recente studio ha rivelato una vulnerabilità all’interno del sistema OAuth di Google, che potrebbe consentire a malintenzionati di accedere a dati sensibili provenienti da account di ex dipendenti di startup ormai fallite. Il sistema OAuth è una tecnologia di accesso proposta da Google che permette di accedere a numerosi servizi utilizzando le credenziali di un account Google. Questo sistema è ampiamente utilizzato sia in contesti privati che aziendali, dando accesso a strumenti essenziali come la suite Workspace e servizi terzi attraverso il modello software-as-a-service (SaaS).
Vulnerabilità del sistema OAuth di Google
La problematicità di mantenere account inutilizzati, definiti “zombie accounts”, risulta particolarmente rilevante nelle organizzazioni aziendali. Infatti, questi account spesso conservano collegamenti a servizi di terzi che contengono dati riservati. A fine settembre 2024, il team di Trufflesecurity ha individuato una falla nel sistema di autenticazione OAuth. Inizialmente, Google classificò il problema come “frode e abuso” anziché come una vulnerabilità nel login. Questo problema è stato reso noto da Dylan Ayrey, CEO di Trufflesecurity, durante l’evento Shmoocon, sollecitando Google a riaprire il ticket associato e ad offrire un premio per la scoperta.
Meccanismo di attacco e implicazioni
Secondo Ayrey, il sistema di login OAuth non previene situazioni in cui un soggetto acquista il dominio di una startup fallita e utilizza questo accesso per generare email per ex dipendenti. In questa circostanza, l’attaccante non avrà accesso alle comunicazioni interne aziendali, ma potrà comunque recuperare l’accesso ai servizi esterni associati al dominio OAuth di Google. Da questo si evince che l’accesso a piattaforme come ChatGPT, Notion, Zoom e Slack potrebbe avvenire senza difficoltà, riprendendo le sessioni degli ex dipendenti.
Acquisto di domini di startup fallite
Un ricercatore ha dimostrato di essere riuscito ad accedere a dati riservati da sistemi HR di una startup fallita semplicemente acquistando un dominio obsoleto e utilizzando le credenziali di OAuth. In questo contesto, i potenziali attaccanti potrebbero intenzionalmente cercare e acquistare domini relativi a startup non più esistenti per sfruttare questa vulnerabilità. Secondo Crunchbase, ci sono circa 116.481 domini di startup non attive, il che suggerisce l’esistenza di milioni di account di ex dipendenti vulnerabili e sfruttabili.
Raccomandazioni di sicurezza
Per evitare di incorrere in problematiche legate al sistema OAuth, è consigliabile non utilizzare credenziali aziendali su account personali. Inoltre, è fondamentale rimuovere dati sensibili dai propri account aziendali prima di cambiare lavoro.
Lascia un commento