Onderzoekers hebben een fout ontdekt in het OAuth-systeem van Google waardoor aanvallers toegang kunnen krijgen tot potentieel gevoelige gegevens van voormalige werknemersaccounts bij ter ziele gegane startups.
OAuth van Google is de inlogtechnologie van de Mountain View-gigant waarmee u met uw Google-account toegang krijgt tot vele platforms en services. Wanneer u de optie ‘Aanmelden met Google’ gebruikt, gebruikt u OAuth. Het dienstenpakket van het bedrijf is ook in grote mate aanwezig in zakelijke omgevingen. Medewerkers gebruiken OAuth niet alleen om toegang te krijgen tot de Workspace-suite, maar ook tot externe platforms via het software-as-a-service (SaaS)-model.
Door deze OAuth-fout van Google kunnen aanvallers inloggegevens overnemen
Het is mogelijk dat u meer dan één Google-account heeft en dat u bij sommige uw inloggegevens niet eens meer weet. Uw verloren account blijft dus in een ‘limbo’ achter waar u om de een of andere reden geen toegang toe heeft. De kwestie van het bijhouden van ‘zombieaccounts’ ligt echter gevoeliger in zakelijke omgevingen. Deze accounts zijn vaak gekoppeld aan diensten van derden met potentieel gevoelige gegevens van voormalige werknemers – of het bedrijf waarvoor ze werkten.
Eind september 2024 ontdekte het Trufflesecurity-team een fout in het OAuth-systeem van Google die kwaadwillende actoren konden misbruiken. Google bestempelde het probleem destijds als ‘fraude en misbruik’ en niet als een inlogkwetsbaarheid. Dylan Ayrey, CEO van Trufflesecurity, maakte het echter bekend tijdens de laatste Shmoocon-hackerconventie afgelopen december. Dit was voor Google aanleiding om het ticket te heropenen en onderzoekers een premie van $ 1.337 aan te bieden.
“De OAuth-aanmelding van Google biedt geen bescherming tegen iemand die het domein van een mislukte startup koopt en dit gebruikt om e-mailaccounts voor voormalige werknemers opnieuw te maken”, zei Ayrey over de kwestie in een recent rapport. In het scenario dat een derde partij het domein van een mislukte startup koopt en de OAuth-login van Google overneemt, kunnen ze geen toegang krijgen tot de eerdere interne communicatie van het bedrijf. Ze konden echter wel inloggen op externe diensten die gekoppeld waren aan het OAuth-domein van Google. Ze hadden bijvoorbeeld toegang tot ChatGPT, Notion, Zoom, Slack of sommige HR-platforms en konden de sessies van voormalige werknemers van de ter ziele gegane startup hervatten.
Aanvallers hoeven alleen maar een verouderd domein te kopen van een mislukte startup
De onderzoeker liet zien hoe hij vertrouwelijke gegevens van een mislukte startup uit HR-systemen wist te halen. Hij hoefde alleen maar een verouderd domein aan te schaffen en verouderde OAuth-inloggegevens te gebruiken. Potentiële aanvallers kunnen zich gaan richten op domeinen die verband houden met mislukte startups om deze te kopen en de kwetsbaarheid te misbruiken. De database van Crunchbase met startups die niet meer bestaan, bevat ongeveer 116.481 beschikbare domeinen. Dit betekent dat er potentieel miljoenen voormalige werknemersaccounts kunnen zijn die klaar zijn om te worden ‘uitgebuit’.
Om problemen met het OAuth-systeem te voorkomen, moet u voorkomen dat u uw bedrijfsgegevens op persoonlijke accounts gebruikt. Als u dit wel doet, kan dit de deur openen voor aanvallers om ze in de toekomst te stelen. Ook als u van baan verandert, dient u eventuele gevoelige gegevens uit uw zakelijke account te verwijderen.
