Muitos websites usam o sistema de autenticação da Google, para facilitar o registo de novas contas nos mesmos. Este sistema usa as próprias contas da Google para ajudar a criar as mesmas em diferentes plataformas.
Recentemente foi identificada uma falha neste sistema da Google, que em certos casos, pode permitir que atacantes consigam obter acesso a contas de antigas startups, e possam assim obter dados e informações pessoais de diretores e funcionários das mesmas.
Segundo os investigadores da empresa de segurança Trufflesecurity, a falha foi identificada o ano passado, e reportada na altura à Google, mais concretamente a 30 de setembro de 2024. Inicialmente, a Google terá descartado o problema como sendo uma falha de segurança no sistema Oauth da empresa.
No entanto, depois do CEO e fundador da empresa de segurança, Dylan Ayrey, ter reportado o incidente no evento Shmoocon, realizado em Dezembro de 2024, a Google terá reaberto o ticket do incidente e forneceu um prémio de 1337 dólares aos investigadores.
Curiosamente, a falha ainda se encontra ativa, e pode ser explorada. Esta falha pode permitir que os atacantes consigam registar domínios que tenham sido desativados, mas ainda tenham contas ativas da Google, e possam assim aproveitar-se para aceder a dados sensíveis de anteriores empresas. Como recomendação, a Google aconselha os utilizadores a encerrarem corretamente as suas contas e domínios antigos.
A piorar a situação, a falha pode ainda ser explorada para obter dados de outras entidades, que usam o sistema de autenticação da Google, e onde os funcionários das startups que encerram poderiam ter serviços. Isto pode permitir que os atacantes consigam obter acesso não apenas a emails, como também a serviços que teriam em outras plataformas.
Analisando os dados da plataforma Crunchbase, o investigador de segurança responsável pela descoberta da falha indica que existem muitas startups que descontinuaram os seus serviços, e possuem os domínios ativamente disponíveis para registo: mais de 116 mil domínios.
Isto abre portas para que várias informações possam ser recolhidas usando este formato de ataque, permitindo aos atacantes registarem os domínios das entidades desativadas, e obterem acesso a dados potencialmente sensíveis das mesmas em outras plataformas, sejam da Google ou não.
Nenhum comentário
Seja o primeiro!