Την ώρα που η Google ετοιμάζεται να εφαρμόσει νέους κανόνες ασφαλείας, βοηθώντας στην περαιτέρω προστασία των χρηστών, μία νέα μελέτη αναδει...
Την ώρα που η Google ετοιμάζεται να εφαρμόσει νέους κανόνες ασφαλείας, βοηθώντας στην περαιτέρω προστασία των χρηστών, μία νέα μελέτη αναδεικνύει ένα διαφορετικό πρόβλημα που αφορά τους χρήστες του Gmail.
«Έδειξα αυτό το πρόβλημα συνδεόμενος σε λογαριασμούς που δεν μου ανήκαν», δήλωσε ο Dylan Ayrey, CEO και συνιδρυτής της Trufflesecurity, «και η Google απάντησε ότι αυτή η υπηρεσία λειτουργούσε όπως προβλεπόταν».
Τι έδειξε η έρευνα
Ο Ayrey εξήγησε ότι το πρόβλημα βασίζεται στο γεγονός ότι η σύνδεση OAuth της Google «δεν προστατεύει από κάποιον που αγοράζει το domain μιας κλειστής εταιρείας και το χρησιμοποιεί για να δημιουργήσει εκ νέου λογαριασμούς ηλεκτρονικού ταχυδρομείου για πρώην υπαλλήλους», γεγονός που αφήνει ορθάνοιχτη την πόρτα σε έναν εισβολέα που χρησιμοποιεί αυτούς τους λογαριασμούς για να συνδεθεί σε οποιοδήποτε προϊόν λογισμικού ως υπηρεσία που είχε χρησιμοποιήσει ο οργανισμός.
Τι είδους υπηρεσίες, θα αναρωτηθείτε; Λοιπόν, η έρευνα ασφαλείας έδειξε πώς μόνο ένας από αυτούς τους ανενεργούς τομείς άνοιξε τις πόρτες ασφαλείας για πρόσβαση σε λογαριασμούς πρώην εργαζομένων που αφορούσαν τις υπηρεσίες ChatGPT, Notion, Slack και Zoom. «Οι πιο ευαίσθητοι λογαριασμοί περιλάμβαναν συστήματα HR», δήλωσε ο Ayrey, “τα οποία περιείχαν φορολογικά έγγραφα, αποκόμματα μισθοδοσίας, ασφαλιστικές πληροφορίες, αριθμούς κοινωνικής ασφάλισης και πολλά άλλα.»
Δεν υπάρχουν σχόλια