Старые логины Google закрывшихся стартапов подвержены риску кражи данных

Американский исследователь кибербезопасности и основатель компании Truffle Security Дилан Эйри обнаружил, что бывшие сотрудники закрывшихся стартапов могут стать жертвами кражи данных через уязвимости в Google OAuth, которая используется для входа в приложения с помощью аккаунта Google.

Если злоумышленник приобретает домен обанкротившегося стартапа, он может получить доступ к корпоративным приложениям, где сохранились учетные данные сотрудников. Используя опцию «Войти с Google», хакеры способны проникнуть в чаты, системы управления проектами, HR-сервисы и другие облачные платформы. В одной из проверок Эйри удалось получить доступ к таким сервисам, как ChatGPT, Slack, Zoom, а также к HR-системе с номерами социального страхования сотрудников.

Особую опасность представляет доступ к HR-платформам, где содержатся данные, которые легко монетизировать: банковская информация, номера соцстрахования и адреса. По данным Эйри, более 116 тысяч доменов стартапов, которые прекратили свою деятельность, сейчас выставлены на продажу, что ставит под угрозу десятки тысяч бывших сотрудников.

Хотя технология Google OAuth включает механизм дополнительной идентификации (sub-identifier), который должен предотвращать подобные атаки, исследователь выявил, что он не всегда работает корректно. В редких случаях, составляющих 0,04%, субидентификатор может измениться, что приводит к сбоям при входе в аккаунты. Google утверждает, что эта информация не подтверждена, но всё же обновил рекомендации для облачных провайдеров, чтобы те активировали защитные функции.

Первоначально Google отклонил отчёт Эйри, назвав проблему не багом, а вопросом мошенничества. Однако спустя три месяца компания пересмотрела свою позицию и выплатила исследователю вознаграждение за выявление уязвимости.

Хотя Google не выпустил технического исправления для решения проблемы, компания обновила документацию, пояснив, как основателям стартапов правильно отключать Google Workspace и закрывать доступ к облачным сервисам. Эйри подчеркнул, что многие основатели стартапов могут упускать этот шаг в эмоционально сложный момент, связанный с закрытием компании.

Эта ситуация подчеркивает необходимость тщательного завершения операций при закрытии бизнеса, чтобы избежать кражи данных бывших сотрудников и предотвращать подобные угрозы в будущем.