Una nueva investigación destaca una vulnerabilidad en el método de autenticación «Iniciar sesión con Google» de Google que permite el acceso no autorizado a datos confidenciales mediante la explotación de dominios de inicio abandonados, lo que representa un riesgo potencial para millones de usuarios estadounidenses.
Una nueva investigación descubre una vulnerabilidad en el método de autenticación de Google
Dylan Ayrey, cofundador y director ejecutivo de Truffle Security, reveló que el inicio de sesión OAuth de Google no protege contra alguien que compre el dominio de una startup fallida y vuelva a crear cuentas de correo electrónico para ex empleados. Si bien esto no otorga acceso a datos de correo electrónico antiguos, permite a los atacantes iniciar sesión en varios productos de software como servicio (SaaS) utilizados por la organización.
La investigación indica que obtener acceso a través de estas cuentas podría comprometer a los usuarios de plataformas como OpenAI ChatGPT, Slack, Notion, Zoom y varios sistemas de recursos humanos (RRHH). Los datos confidenciales, incluidos documentos fiscales, recibos de sueldo, información de seguros y números de seguro social, podrían quedar expuestos. Las plataformas de entrevistas también pueden contener información privada sobre los comentarios de los candidatos y las decisiones de contratación.
No lo ignores: la actualización de ciberseguridad de Adobe podría salvar tus datos
OAuth, o autorización abierta, es un estándar que permite a los usuarios otorgar a las aplicaciones acceso a sus datos sin compartir contraseñas. Al iniciar sesión en aplicaciones mediante «Iniciar sesión con Google», Google proporciona afirmaciones sobre el usuario, incluida su dirección de correo electrónico y dominio alojado. Si la autenticación se basa únicamente en estos elementos, aumenta el riesgo de acceso no autorizado tras un cambio de propiedad del dominio.
El problema fue documentado por investigadores de Truffle Security y reportado a Google el 30 de septiembre de 2024. Google inicialmente clasificó el hallazgo como un problema de fraude y abuso en lugar de una falla en OAuth. Tras la presentación de Ayrey de los hallazgos en Shmoocon En diciembre, Google reabrió el ticket y otorgó a Ayrey una recompensa de 1.337 dólares. No obstante, la vulnerabilidad sigue sin abordarse y es explotable.
El token de identificación OAuth de Google incluye un identificador de usuario único denominado «subreclamo», que en teoría debería evitar tales problemas. Sin embargo, las inconsistencias (aproximadamente 0,04%) en la confiabilidad de los subreclamos obligan a servicios como Slack y Notion a depender únicamente de los reclamos de dominio y correo electrónico, que pueden ser heredados por los nuevos propietarios de dominios, lo que permite la suplantación de antiguos empleados.
Ayrey descubrió 116.481 dominios abandonados al escanear la base de datos Crunchbase. Aboga por la introducción por parte de Google de identificadores inmutables para fortalecer la seguridad de la cuenta. Además, los proveedores de SaaS podrían imponer medidas como hacer referencias cruzadas a las fechas de registro de dominio o exigir permisos de nivel de administrador para el acceso a la cuenta para mejorar la seguridad.
Sin embargo, implementar estas medidas de seguridad podría implicar costos operativos, desafíos técnicos y fricciones para los usuarios, lo que llevaría a un incentivo mínimo para su adopción. El riesgo continúa expandiéndose, afectando potencialmente a millones de cuentas de empleados en nuevas empresas, especialmente porque estadísticamente se espera que el 90% de las nuevas empresas tecnológicas desaparezcan.
Actualmente, alrededor de seis millones de estadounidenses trabajan en nuevas empresas tecnológicas, y aproximadamente el 50% utiliza Google Workspaces para el correo electrónico, lo que implica que muchos usuarios inician sesión en herramientas de productividad utilizando sus cuentas de Google. Los ex empleados son aconsejado eliminar información confidencial de las cuentas antes de abandonar dichas organizaciones, evitando el uso de cuentas de trabajo para registros personales para mitigar futuras exposiciones de seguridad.
Crédito de la imagen destacada: Google
