Если вы входите через Google в своих учетных записях, вы находитесь в опасности: данные миллионов пользователей были выставлены из -за уязвимости

В новом отчете была выявлена ​​большая уязвимость в системе «Войти с Google», используемой миллионами людей для аутентификации на различных платформах. Это нарушение безопасности может быть использовано злоумышленниками для доступа к данным конфиденциальных пользователей, создавая глобальную озабоченность.

Уязвимость системы «Войти с Google»

Отчет, опубликованный 13 января 2025 года Диланом Эйри, генеральным директором Trufflesecurity, показал, как злоумышленники могут использовать аутентификацию OAPT. В частности, уязвимость позволяет злоумышленнику покупать области отмены компаний и создавать связанные с ними учетные записи электронной почты. Эти учетные записи могут затем использоваться для доступа к Сервисам, ранее используемым соответствующими организациями, такими как CHATGPT, понятие, Slack или Zoom.

«Я продемонстрировал этот дефект, вошел в учетные записи, которые не принадлежали мне», — сказал Эйри, цитируемый Forbes.com, добавив, что Google изначально считал такое поведение «нормальным». Полученные конфиденциальные данные включают налоговые документы, зарплату бабочки, страховую информацию и даже номера социального страхования.

Как работает эксплуатация?

Проблема заключается в том, как Google управляет «претензиями» — информация, отправленная третьей стороне, когда пользователь использует опцию «Войти с Google». Эти «моллюски» включают в себя такие детали, как адрес электронной почты пользователя и размещенный домен. Если злоумышленник приобретает заброшенный домен, он может унаследовать эти «моллюски», получая доступ к счетам бывших сотрудников.

«Эта уязвимость подчеркивает необходимость более надежных мер для защиты данных пользователей и более методов эксплуатационной аутентификации», — сказал Роу Шерман, специалист по кибербезопасности.

Реакция Google и предложенные меры

Уязвимость была первоначально сообщена Google 30 сентября 2024 года, но компания ответила, что она не считает необходимым для немедленного решения. После того, как дефект был продемонстрирован на конференции Shmool в декабре, Google вновь открыл дело и дал исследователям символическое вознаграждение в размере 1337 долл. США, термин, используемый в культуре хакеров для «элиты».

Google утверждает, что аутентификация OAPT уже включает в себя уникальный идентификатор, известный как «под полем», который, если правильно используется третьими приложениями, может предотвратить такую ​​эксплуатацию. Тем не менее, документация для разработчиков была обновлена, чтобы прояснить эту рекомендацию. Google также подчеркнул, что проблема не влияет не на данные, хранящиеся Google, а скорее на те, которые размещены третьими платформами.

Что могут делать пользователи и компании?

Чтобы минимизировать риски, Google рекомендует компаниям:

1. Полностью удалите данные пользователей Когда я закрываю учетные записи, чтобы предотвратить более поздний доступ.
2. Я использую уникальные идентификаторы в их приложениях, таких как «под поле», для обеспечения защиты данных.

Пользователи также могут принимать меры по осторожности, такие как проверка настройки безопасности учетных записей и закрытие доступа для приложений, которые они больше не используют.

Это нарушение безопасности подчеркивает риски использования аутентификации через третьи стороны, даже от известных компаний, таких как Google. Поскольку Google работает над улучшением защиты, пользователи и разработчики должны быть бдительными и реализовать строгие практики для защиты личных данных. Уязвимости этого типа подчеркивают важность надежной инфраструктуры кибербезопасности и общей ответственности между платформами и пользователями.