Forscher haben eine Schwachstelle im OAuth-System von Google entdeckt, die es Angreifern ermöglichen könnte, auf potenziell sensible Daten von ehemaligen Mitarbeiterkonten bei nicht mehr existierenden Startups zuzugreifen.
OAuth von Google ist die Anmeldetechnologie des Mountain View-Riesen, mit der Sie mit Ihrem Google-Konto auf viele Plattformen und Dienste zugreifen können. Wenn Sie die Option „Mit Google anmelden“ verwenden, verwenden Sie OAuth. Das Dienstleistungsangebot des Unternehmens ist auch im Geschäftsumfeld stark vertreten. Mitarbeiter nutzen OAuth nicht nur für den Zugriff auf die Workspace-Suite, sondern auch für den Zugriff auf externe Plattformen über das Software-as-a-Service-Modell (SaaS).
Dieser OAuth-Fehler von Google könnte es Angreifern ermöglichen, Anmeldeinformationen zu erben
Es ist möglich, dass Sie mehr als ein Google-Konto haben und sich bei manchen nicht einmal an Ihre Anmeldedaten erinnern. Ihr verlorenes Konto bleibt also in der Schwebe, in dem Sie aus dem einen oder anderen Grund nicht darauf zugreifen können. Allerdings ist die Führung von „Zombie-Konten“ im Geschäftsumfeld heikler. Diese Konten sind häufig mit Diensten Dritter verknüpft, die möglicherweise sensible Daten ehemaliger Mitarbeiter oder des Unternehmens, für das sie gearbeitet haben, enthalten.
Ende September 2024 entdeckte das Trufflesecurity-Team einen Fehler im OAuth-System von Google, den böswillige Akteure ausnutzen könnten. Damals bezeichnete Google das Problem als „Betrug und Missbrauch“ und nicht als Sicherheitslücke bei der Anmeldung. Dylan Ayrey, CEO von Trufflesecurity, enthüllte dies jedoch während der letzten Shmoocon-Hacker-Convention im vergangenen Dezember. Dies veranlasste Google, das Ticket erneut zu öffnen und den Forschern ein Kopfgeld in Höhe von 1.337 US-Dollar anzubieten.
„Das OAuth-Login von Google schützt nicht davor, dass jemand die Domain eines gescheiterten Startups kauft und sie zum Neuerstellen von E-Mail-Konten für ehemalige Mitarbeiter verwendet„, sagte Ayrey in einem aktuellen Bericht zu dem Problem. In dem Szenario, dass ein Dritter die Domain eines gescheiterten Startups kauft und das OAuth-Login von Google erbt, könnte er nicht auf die frühere interne Kommunikation des Unternehmens zugreifen. Sie könnten sich jedoch bei externen Diensten anmelden, die mit der OAuth-Domain von Google verknüpft sind. Sie könnten beispielsweise auf ChatGPT, Notion, Zoom, Slack oder einige HR-Plattformen zugreifen und die Sitzungen ehemaliger Mitarbeiter des aufgelösten Startups wieder aufnehmen.
Angreifer müssen lediglich eine veraltete Domain von einem gescheiterten Startup kaufen
Der Forscher zeigte, wie es ihm gelang, aus HR-Systemen auf vertrauliche Daten eines gescheiterten Startups zuzugreifen. Er musste lediglich eine veraltete Domain erwerben und alte OAuth-Anmeldeinformationen verwenden. Potenzielle Angreifer könnten Domänen im Zusammenhang mit gescheiterten Startups ins Visier nehmen, um diese zu erwerben und die Schwachstelle auszunutzen. Die Crunchbase-Datenbank nicht mehr existierender Startups listet rund 116.481 verfügbare Domains auf. Das bedeutet, dass es möglicherweise Millionen von Konten ehemaliger Mitarbeiter gibt, die „ausgenutzt“ werden können.
Um Probleme im Zusammenhang mit dem OAuth-System zu vermeiden, sollten Sie die Verwendung Ihrer Firmenanmeldeinformationen für persönliche Konten vermeiden. Dies könnte Angreifern die Tür öffnen, sie in Zukunft zu stehlen. Auch bei einem Jobwechsel sollten Sie alle sensiblen Daten aus Ihrem Geschäftskonto entfernen.
