Сообщение администратору
Имя:
Email:
Ziņojums:
Вход на сайт
Lietotājs:
Parole:

Ziedojums  •  Dienasgrāmata  •  Par projektu  •  Reklāma  •  Ievietojiet reklāmu  •  Sūtīt saturu  •  Laika skala  •  Translate  •  Рекомендованное  •  Написать администратору OpenToWork Viesi: 13    Dalibnieki: 0 Авторизация Sign In   Sign Up 
Scientific Poke Method
RULVEN
Meklēšana  
Blackball iMag | интернет-журнал
RSS-лента
Share link:
Katalogs


Sākums » Компьютеры & IT » «Sign in with Google»: инструмент быстрой аутентификации раскрывает данные компаний-призраков

«Sign in with Google»: инструмент быстрой аутентификации раскрывает данные компаний-призраковновости


«Sign in with Google»: инструмент быстрой аутентификации раскрывает данные компаний-призраков
Added: Вт 14.01.2025 • Sergeant
Source: SecurityLab
Skatījumi: 15
Komentāri: 0


Как «неустранимая» уязвимость способна похоронить индустрию стартапов.

Уязвимость в системе аутентификации «Sign in with Google» оставила миллионы американцев под угрозой кражи данных. Проблема затрагивает в основном бывших сотрудников стартапов, особенно тех, которые уже прекратили свою деятельность.

Компания Truffle Security установила, что причина уязвимости связана с тем, как Google OAuth обрабатывает изменения владельцев доменов. При закрытии стартапа его домен становится доступным для покупки. Новый владелец может воссоздать почтовые ящики бывших сотрудников, которые, хотя и не предоставляют доступ к старым данным, позволяют войти в различные сервисы.

Исследователь по безопасности продемонстрировал проблему, купив домен закрытого стартапа. Ему удалось получить доступ к таким сервисам, как ChatGPT, Slack, Notion, Zoom, а также HR-системам, содержащим номера социального страхования, налоговые документы и другие конфиденциальные данные.

Масштабы проблемы значительны. В США около 6 миллионов человек работают в стартапах, из которых около 90% закрываются, а половина использует Google Workspaces. Анализ данных Crunchbase показал, что более 100 000 доменов закрытых стартапов доступны для покупки. Это создаёт риск утечки данных с более чем 10 миллионов аккаунтов.

Уязвимость связана с тем, как провайдеры, такие как Slack, аутентифицируют пользователей. Они используют два параметра Google OAuth: HD (домен) и email. При смене владельца домена эти параметры остаются неизменными, предоставляя доступ новым владельцам.

Решением проблемы может стать внедрение Google двух неизменных идентификаторов в OpenID Connect (OIDC): уникального идентификатора пользователя и идентификатора рабочей области. Однако, несмотря на уведомление исследователя, Google предварительно отказалась исправлять уязвимость, отметив её как «не подлежит исправлению». Только после широкой огласки компания возобновила рассмотрение случая.

Полного решения проблемы пока не предложено, и провайдеры, такие как Slack, не могут устранить её самостоятельно. Уязвимость подчёркивает необходимость усиления систем аутентификации и пересмотра подходов к безопасности в условиях растущей зависимости от облачных сервисов.



Мне нравится 0   Мне не нравится 0



Comments

Чтобы добавить видео с YouTube, нужно написать [@youtube=xxxxx] , где xxxxx – ID видео.


Komentāri: 0
There are no comments.

Новое
09:04
О феномене бесполезных работ
PNGPlug: вредоносный код, сокрытый в невинных изображениях 00:17
PNGPlug: вредоносный код, сокрытый в невинных изображениях
DDoS-угроза №1: ChatGPT может обрушить любой веб-сайт за секунды 00:16
DDoS-угроза №1: ChatGPT может обрушить любой веб-сайт за секунды
2 дня назад, 09:02
Когда устроился на работу, и тебя уволили в тот же день
3 дня назад, 16:34
Прогрев аудиоаппаратуры — «за» и «против»
Электрический BMW M3 на платформе Neue Klasse снова сфотографировали 3 дня назад, 15:11
Электрический BMW M3 на платформе Neue Klasse снова сфотографировали
Салат с жареной курицей Сб 18.01.2025
Салат с жареной курицей
CES 2025: 7 революционных гаджетов, которые изменят нашу повседневную жизнь Пт 17.01.2025
CES 2025: 7 революционных гаджетов, которые изменят нашу повседневную жизнь
«Sign in with Google»: инструмент быстрой аутентификации раскрывает данные компаний-призраков Вт 14.01.2025
«Sign in with Google»: инструмент быстрой аутентификации раскрывает данные компаний-призраков
Чек-лист по запуску нового сайта: что нужно учесть? Вт 14.01.2025
Чек-лист по запуску нового сайта: что нужно учесть?
Grāmatas
Рецепты TypeScript вчера, 10:13
Рецепты TypeScript
Год: 2025
Изучаем Python, 3-е издание Вт 17.12.2024
Изучаем Python, 3-е издание
Год: 2020
Docker Compose для разработчика Вт 10.12.2024
Docker Compose для разработчика
Год: 2023
Blazor in Action Вт 04.06.2024
Blazor in Action
Год: 2022
Security for Containers and Kubernetes Вт 28.05.2024
Security for Containers and Kubernetes
Год: 2023
Разработано на основе BlackNight CMS
Release v.2025-01-06
© 2000–2025 Blackball
Design & programming:
AboutReklāma
Visitors
Web-site performed by Sergey Drozdov
BlackballReklāmaStatistikaПоддержка
MusicPlaylistsCinemaVideoGamesAudioDownloadsMagazinePicturesHumorForumWebsite journalSend contentРекомендованное