Neue Forschungsergebnisse weisen auf eine Schwachstelle in der Authentifizierungsmethode „Mit Google anmelden“ von Google hin, die den unbefugten Zugriff auf sensible Daten durch Ausnutzung verlassener Startup-Domains ermöglicht und ein potenzielles Risiko für Millionen amerikanischer Nutzer darstellt.
Neue Forschung deckt Schwachstelle in der Google-Authentifizierungsmethode auf
Dylan Ayrey, Mitbegründer und CEO von Truffle Security, enthüllt dass die OAuth-Anmeldung von Google nicht davor schützt, dass jemand die Domain eines gescheiterten Startups kauft und E-Mail-Konten für ehemalige Mitarbeiter neu erstellt. Dies gewährt zwar keinen Zugriff auf alte E-Mail-Daten, ermöglicht es Angreifern jedoch, sich bei verschiedenen Software-as-a-Service-Produkten (SaaS) anzumelden, die von der Organisation verwendet werden.
Die Untersuchung zeigt, dass der Zugriff über diese Konten Benutzer auf Plattformen wie OpenAI ChatGPT, Slack, Notion, Zoom und mehreren Personalsystemen (HR-Systemen) gefährden könnte. Sensible Daten, darunter Steuerdokumente, Gehaltsabrechnungen, Versicherungsinformationen und Sozialversicherungsnummern, könnten offengelegt werden. Vorstellungsgesprächsplattformen können auch private Informationen zu Kandidaten-Feedback und Einstellungsentscheidungen enthalten.
Nicht ignorieren: Das Cybersicherheitsupdate von Adobe könnte Ihre Daten retten
OAuth oder offene Autorisierung ist ein Standard, der es Benutzern ermöglicht, Anwendungen Zugriff auf ihre Daten zu gewähren, ohne Passwörter weiterzugeben. Bei der Anmeldung bei Anwendungen mit „Mit Google anmelden“ stellt Google Angaben zum Nutzer bereit, einschließlich seiner E-Mail-Adresse und seiner gehosteten Domain. Wenn sich die Authentifizierung ausschließlich auf diese Elemente stützt, erhöht sich das Risiko eines unbefugten Zugriffs nach einem Wechsel des Domänenbesitzers.
Das Problem wurde von Truffle Security-Forschern dokumentiert und am 30. September 2024 an Google gemeldet. Google stufte den Befund zunächst als Betrugs- und Missbrauchsproblem und nicht als Fehler in OAuth ein. Im Anschluss an Ayreys Präsentation der Ergebnisse bei Shmoocon Im Dezember eröffnete Google das Ticket erneut und sprach Ayrey ein Kopfgeld von 1.337 US-Dollar zu. Dennoch bleibt die Schwachstelle unbehoben und kann ausgenutzt werden.
Das OAuth-ID-Token von Google enthält eine eindeutige Benutzerkennung namens „Sub Claim“, die solche Probleme theoretisch verhindern sollte. Inkonsistenzen – etwa 0,04 % – in der Zuverlässigkeit von Unteransprüchen zwingen Dienste wie Slack und Notion jedoch dazu, sich ausschließlich auf E-Mail- und Domänenansprüche zu verlassen, die von neuen Domänenbesitzern geerbt werden können, was die Identitätsfälschung ehemaliger Mitarbeiter ermöglicht.
Ayrey entdeckte 116.481 verlassene Domains, indem er die Crunchbase-Datenbank durchsuchte. Er befürwortet die Einführung unveränderlicher Identifikatoren durch Google, um die Kontosicherheit zu stärken. Darüber hinaus könnten SaaS-Anbieter Maßnahmen wie Querverweise auf Domain-Registrierungsdaten oder die Anforderung von Berechtigungen auf Administratorebene für den Kontozugriff erzwingen, um die Sicherheit zu erhöhen.
Allerdings könnte die Implementierung dieser Sicherheitsmaßnahmen mit Betriebskosten, technischen Herausforderungen und Reibungsverlusten für die Benutzer verbunden sein, was zu einem minimalen Anreiz für die Einführung führen würde. Das Risiko wächst weiter und betrifft möglicherweise Millionen von Mitarbeiterkonten in Start-ups, insbesondere da 90 % der Technologie-Startups statistisch gesehen voraussichtlich aufgelöst werden.
Derzeit sind rund sechs Millionen Amerikaner bei Technologie-Startups beschäftigt, wobei etwa 50 % Google Workspaces für E-Mails nutzen, was bedeutet, dass sich viele Benutzer mit ihren Google-Konten bei Produktivitätstools anmelden. Ehemalige Mitarbeiter sind geraten sensible Informationen aus Konten zu entfernen, bevor man solche Organisationen verlässt, und die Verwendung von Arbeitskonten für persönliche Registrierungen zu vermeiden, um zukünftige Sicherheitsrisiken zu minimieren.
Hervorgehobener Bildnachweis: Google
