Lỗ hổng Google OAuth làm lộ hàng triệu thông tin qua các tên miền khởi động không thành công
Lỗ hổng Google OAuth làm lộ hàng triệu thông tin qua các tên miền khởi động không thành công
Nghiên cứu mới đã vén bức màn về "khuyết điểm" trong luồng xác thực "Đăng nhập bằng Google" của Google, khai thác một điểm kỳ quặc trong quyền sở hữu tên miền để truy cập vào dữ liệu nhạy cảm.
"Đăng nhập OAuth của Google không bảo vệ chống lại việc ai đó mua tên miền của một công ty khởi nghiệp thất bại và sử dụng nó để tạo lại tài khoản email cho các nhân viên cũ", đồng sáng lập kiêm giám đốc điều hành của Truffle Security, Dylan Ayrey cho biết trong một báo cáo hôm thứ Hai.
"Và mặc dù bạn không thể truy cập dữ liệu email cũ, nhưng bạn có thể sử dụng các tài khoản đó để đăng nhập vào tất cả các sản phẩm SaaS khác nhau mà tổ chức đã sử dụng".
Công ty có trụ sở tại San Francisco cho biết vấn đề này có khả năng khiến dữ liệu của hàng triệu người dùng Hoa Kỳ gặp rủi ro chỉ bằng cách mua một tên miền không còn tồn tại liên quan đến một công ty khởi nghiệp thất bại và truy cập trái phép vào các tài khoản nhân viên cũ liên quan đến nhiều ứng dụng khác nhau như OpenAI ChatGPT, Slack, Notion, Zoom và thậm chí cả hệ thống nhân sự.
"Các tài khoản nhạy cảm nhất bao gồm các hệ thống nhân sự, trong đó có chứa các tài liệu thuế, phiếu lương, thông tin bảo hiểm, số an sinh xã hội, v.v.", Ayrey cho biết. "Các nền tảng phỏng vấn cũng chứa thông tin nhạy cảm về phản hồi, lời đề nghị và sự từ chối của ứng viên".
OAuth, viết tắt của open authorization, đề cập đến một tiêu chuẩn mở để ủy quyền truy cập, cho phép người dùng cấp cho các trang web hoặc ứng dụng quyền truy cập vào thông tin của họ trên các trang web khác mà không cần phải cung cấp mật khẩu. Điều này được thực hiện bằng cách sử dụng mã thông báo truy cập để xác minh danh tính của người dùng và cho phép dịch vụ truy cập vào tài nguyên mà mã thông báo đó dành cho.
Lỗ hổng OAuth của Google
Khi "Đăng nhập bằng Google" được sử dụng để đăng nhập vào một ứng dụng như Slack, Google sẽ gửi cho dịch vụ một tập hợp các yêu cầu về người dùng, bao gồm địa chỉ email và tên miền được lưu trữ, sau đó có thể được sử dụng để đăng nhập người dùng vào tài khoản của họ.
Điều này cũng có nghĩa là nếu một dịch vụ chỉ dựa vào các thông tin này để xác thực người dùng, thì nó cũng mở ra cánh cửa cho một kịch bản mà việc thay đổi quyền sở hữu tên miền có thể cho phép kẻ tấn công lấy lại quyền truy cập vào các tài khoản cũ của nhân viên.
Truffle cũng chỉ ra rằng mã thông báo ID OAuth của Google bao gồm một mã định danh người dùng duy nhất - yêu cầu phụ - về mặt lý thuyết có thể ngăn chặn sự cố, nhưng điều này đã được phát hiện là không đáng tin cậy. Điều đáng chú ý là mã thông báo ID Entra của Microsoft bao gồm các yêu cầu sub hoặc oid để lưu trữ giá trị không thay đổi cho mỗi người dùng.
Mặc dù ban đầu Google đã phản hồi về việc tiết lộ lỗ hổng bảo mật bằng cách tuyên bố rằng đó là hành vi cố ý, nhưng kể từ đó, họ đã mở lại báo cáo lỗi kể từ ngày 19 tháng 12 năm 2024, trao cho Ayrey khoản tiền thưởng là 1.337 đô la. Họ cũng đã xác định vấn đề này là "phương pháp liên quan đến lạm dụng có tác động lớn".
Trong một tuyên bố được chia sẻ với The Hacker News, một phát ngôn viên của Google cho biết công ty khuyến nghị khách hàng tuân theo các biện pháp bảo mật tốt nhất và xóa tất cả dữ liệu người dùng khi tài khoản bị đóng để đảm bảo rằng dữ liệu không thể truy cập được. Các nhà cung cấp phần mềm hạ nguồn cũng có thể bảo vệ chống lại lỗ hổng bảo mật trong quá trình triển khai OAuth của Google bằng cách sử dụng trường sub trong ứng dụng của họ làm khóa định danh duy nhất cho người dùng.
"Chúng tôi đánh giá cao sự giúp đỡ của Dylan Ayrey trong việc xác định các rủi ro phát sinh từ việc khách hàng quên xóa các dịch vụ SaaS của bên thứ ba như một phần của việc từ chối hoạt động của họ", gã khổng lồ công nghệ cho biết. "Theo thông lệ tốt nhất, chúng tôi khuyến nghị khách hàng đóng đúng cách các miền theo hướng dẫn này để loại sự cố này không thể xảy ra. Ngoài ra, chúng tôi khuyến khích các ứng dụng của bên thứ ba tuân theo thông lệ tốt nhất bằng cách sử dụng mã định danh tài khoản duy nhất (sub) để giảm thiểu rủi ro này".
Google cũng chỉ ra rằng ngay từ đầu, bản sửa lỗi không cần thiết vì "đã có biện pháp bảo vệ mạnh mẽ và phù hợp" dưới dạng trường sub và họ chưa thấy bất kỳ bằng chứng nào hỗ trợ cho tuyên bố rằng trường này không bất biến và duy nhất.
Tính đến ngày 15 tháng 1, công ty đã cập nhật tài liệu của mình với cảnh báo: "Khi triển khai hệ thống quản lý tài khoản, bạn không nên sử dụng trường email trong mã thông báo ID làm mã định danh duy nhất cho người dùng. Luôn sử dụng trường sub vì nó là duy nhất đối với Tài khoản Google ngay cả khi người dùng thay đổi địa chỉ email của họ".
"Là một cá nhân, sau khi bạn rời khỏi một công ty khởi nghiệp, bạn sẽ mất khả năng bảo vệ dữ liệu của mình trong các tài khoản này và bạn phải chịu bất kỳ số phận nào xảy ra với tương lai của công ty khởi nghiệp và tên miền", Ayrey cho biết. "Nếu không có mã định danh bất biến cho người dùng và không gian làm việc, việc thay đổi quyền sở hữu tên miền sẽ tiếp tục gây nguy hiểm cho tài khoản."
Hương – Theo TheHackerNews
Tin liên quan:
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại nhắm vào các nhà quảng cáo của Microsoft bằng các quảng cáo Google...
Chi tiếtApple đã phát hành bản cập nhật phần mềm để giải quyết một số lỗi bảo mật trong danh mục đầu tư của mình, bao gồm lỗ hổng zero-day mà công ty cho...
Chi tiếtMột lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong khuôn khổ mô hình ngôn ngữ lớn (LLM) Llama của Meta, nếu khai thác thành công, có thể cho phép...
Chi tiết