Satu kelemahan keselamatan yang ketara dalam sistem pengesahan Google OAuth telah ditemui, berpotensi mendedahkan data sensitif berjuta-juta bekas pekerja syarikat permulaan yang telah ditutup. Penemuan ini menimbulkan kebimbangan serius tentang implikasi keselamatan jangka panjang sistem pengesahan digital dan pemindahan pemilikan domain.
Kelemahan Pengesahan OAuth
Kelemahan keselamatan ini, yang ditemui oleh penyelidik Trufflesecurity, berpusat pada aliran pengesahan Sign in with Google. Kelemahan ini membolehkan sesiapa yang membeli domain syarikat yang telah ditutup untuk berpotensi mengakses akaun perkhidmatan pihak ketiga bekas pekerja. Jurang keselamatan ini wujud kerana sistem OAuth Google terus menghormati tuntutan pengesahan berdasarkan domain e-mel semata-mata, walaupun selepas pemilikan domain tersebut telah bertukar tangan.
Impak dan Skop
Jangkauan kelemahan ini amat membimbangkan memandangkan jumlah sasaran yang berpotensi sangat besar. Menurut data Crunchbase, terdapat kira-kira 116,481 domain dari syarikat permulaan yang gagal yang boleh dieksploitasi. Perkhidmatan yang terjejas termasuk platform yang digunakan secara meluas seperti ChatGPT, Notion, Slack, dan Zoom. Lebih kritikal lagi, kelemahan ini membolehkan akses kepada sistem HR yang mengandungi maklumat peribadi sensitif termasuk dokumen cukai, nombor keselamatan sosial, dan butiran insurans.
-
Perkhidmatan Yang Terjejas:
- ChatGPT
- Notion
- Slack
- Zoom
- Sistem HR
-
Garis Masa:
- Laporan Awal: 30 September 2024
- Maklum Balas Awal: 2 Oktober 2024 (Tidak Akan Diperbaiki)
- Pendedahan Awam: Disember 2024
- Jumlah Ganjaran: USD $1,337
-
Skala Potensi Impak:
- Domain Syarikat Permulaan Yang Tidak Aktif Yang Tersedia: 116,481
Tindak Balas dan Garis Masa Google
Pada mulanya dilaporkan kepada Google pada 30 September 2024, isu ini pada awalnya ditandakan sebagai tidak akan diperbaiki. Walau bagaimanapun, selepas pendedahan awam di persidangan keselamatan Shmoocon pada Disember, Google membuka semula kes tersebut dan menganugerahkan ganjaran sebanyak 1,337 dolar Amerika - nombor yang penting dalam budaya penggodam kerana ia mengeja 'elite' dalam leetspeak. Syarikat kini sedang giat bekerja untuk melaksanakan pembaikan, berpotensi menggabungkan pengecam tidak boleh ubah baharu untuk pengesahan pengguna dan ruang kerja.
Strategi Pengurangan Risiko
Google telah mengesyorkan agar syarikat-syarikat menutup domain dengan betul mengikut arahan yang ditetapkan untuk mencegah kelemahan sedemikian. Selain itu, mereka menggalakkan aplikasi pihak ketiga untuk melaksanakan amalan terbaik dengan menggunakan pengecam akaun unik. Bagi individu dan perniagaan, adalah penting untuk membuang data sensitif dari akaun perniagaan semasa peralihan kerja dan mengelakkan penggunaan kelayakan syarikat untuk akaun peribadi.
Implikasi Masa Depan
Kelemahan keselamatan ini menyoroti cabaran yang lebih luas dalam pengurusan identiti digital dan keperluan untuk sistem pengesahan yang lebih kukuh yang dapat menangani kerumitan pemindahan pemilikan domain dan pembubaran syarikat. Ketika landskap digital terus berkembang, kelemahan sedemikian menekankan kepentingan melaksanakan langkah-langkah keselamatan yang lebih canggih dalam sistem pengesahan.