1. TugaTech » Internet e Redes » Noticias da Internet e Mercados » Falha em sistema da Google pode permitir acesso a contas antigas
  Login     Registar    |                      
Siga-nos

Você não está conectado. Conecte-se ou registre-se

TugaTech » Internet e Redes » Noticias da Internet e Mercados » Falha em sistema da Google pode permitir acesso a contas antigas » Nova mensagem

Responder

Guia do BBcode

  

Opções



Mensagens anteriores

Falha em sistema da Google pode permitir acesso a contas antigas em Ter 14 Jan 2025 - 18:18

DJPRMF

Sistema da Google com proteção

 

Muitos websites usam o sistema de autenticação da Google, para facilitar o registo de novas contas nos mesmos. Este sistema usa as próprias contas da Google para ajudar a criar as mesmas em diferentes plataformas.

 

Recentemente foi identificada uma falha neste sistema da Google, que em certos casos, pode permitir que atacantes consigam obter acesso a contas de antigas startups, e possam assim obter dados e informações pessoais de diretores e funcionários das mesmas.

 

Segundo os investigadores da empresa de segurança Trufflesecurity, a falha foi identificada o ano passado, e reportada na altura à Google, mais concretamente a 30 de setembro de 2024. Inicialmente, a Google terá descartado o problema como sendo uma falha de segurança no sistema Oauth da empresa.

 

No entanto, depois do CEO e fundador da empresa de segurança, Dylan Ayrey, ter reportado o incidente no evento Shmoocon, realizado em Dezembro de 2024, a Google terá reaberto o ticket do incidente e forneceu um prémio de 1337 dólares aos investigadores.

 

Curiosamente, a falha ainda se encontra ativa, e pode ser explorada. Esta falha pode permitir que os atacantes consigam registar domínios que tenham sido desativados, mas ainda tenham contas ativas da Google, e possam assim aproveitar-se para aceder a dados sensíveis de anteriores empresas. Como recomendação, a Google aconselha os utilizadores a encerrarem corretamente as suas contas e domínios antigos.

 

A piorar a situação, a falha pode ainda ser explorada para obter dados de outras entidades, que usam o sistema de autenticação da Google, e onde os funcionários das startups que encerram poderiam ter serviços. Isto pode permitir que os atacantes consigam obter acesso não apenas a emails, como também a serviços que teriam em outras plataformas.

 

Analisando os dados da plataforma Crunchbase, o investigador de segurança responsável pela descoberta da falha indica que existem muitas startups que descontinuaram os seus serviços, e possuem os domínios ativamente disponíveis para registo: mais de 116 mil domínios.

 

Isto abre portas para que várias informações possam ser recolhidas usando este formato de ataque, permitindo aos atacantes registarem os domínios das entidades desativadas, e obterem acesso a dados potencialmente sensíveis das mesmas em outras plataformas, sejam da Google ou não.



  As mensagens apresentadas em cima não são actualizadas automaticamente pelo que se uma nova mensagem for colocada enquanto se encontra nesta página, não irá aparecer na lista em cima.


Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech