Googles Authentifizierungsfehler „Mit Google anmelden“ ermöglicht Angreifern den Zugriff auf sensible Daten, indem sie die Domains gescheiterter Startups kaufen

Neue Forschungsergebnisse haben einen „Mangel“ im Authentifizierungsablauf „Mit Google anmelden“ von Google enthüllt, der eine Eigenart des Domain-Eigentums ausnutzt, um Zugriff auf sensible Daten zu erhalten.

A "deficiency" in Google's "Sign in with Google" authentication flow has been uncovered by new research, exploiting a quirk in domain ownership to gain access to sensitive data.

Eine neue Studie hat einen „Mangel“ im Authentifizierungsablauf „Mit Google anmelden“ von Google aufgedeckt, bei dem eine Eigenart des Domain-Eigentums ausgenutzt wurde, um Zugriff auf sensible Daten zu erhalten.

"Google's OAuth login doesn't protect against someone purchasing a failed startup's domain and using it to re-create email accounts for former employees," Truffle Security co-founder and CEO Dylan Ayrey said in a Monday report.

„Googles OAuth-Login schützt nicht davor, dass jemand die Domain eines gescheiterten Startups kauft und sie verwendet, um E-Mail-Konten für ehemalige Mitarbeiter neu zu erstellen“, sagte Dylan Ayrey, Mitbegründer und CEO von Truffle Security, in einem Bericht vom Montag.

"And while you can't access old email data, you can use those accounts to log into all the different SaaS products that the organization used."

„Und obwohl Sie nicht auf alte E-Mail-Daten zugreifen können, können Sie diese Konten verwenden, um sich bei allen verschiedenen SaaS-Produkten anzumelden, die das Unternehmen verwendet hat.“

The San Francisco-based company said the issue has the potential to put millions of American users' data at risk simply by purchasing a defunct domain associated with a failed startup and gaining unauthorized access to old employee accounts related to various applications like OpenAI ChatGPT, Slack, Notion, Zoom, and even HR systems.

Das in San Francisco ansässige Unternehmen sagte, das Problem könne die Daten von Millionen amerikanischer Benutzer gefährden, indem einfach eine nicht mehr existierende Domain im Zusammenhang mit einem gescheiterten Startup gekauft und unbefugter Zugriff auf alte Mitarbeiterkonten im Zusammenhang mit verschiedenen Anwendungen wie OpenAI, ChatGPT und Slack erlangt werde , Notion, Zoom und sogar HR-Systeme.

"The most sensitive accounts included HR systems, which contained tax documents, pay stubs, insurance information, social security numbers, and more," Ayrey said. "Interview platforms also contained sensitive information about candidate feedback, offers, and rejections."

„Zu den sensibelsten Konten gehörten HR-Systeme, die Steuerdokumente, Gehaltsabrechnungen, Versicherungsinformationen, Sozialversicherungsnummern und mehr enthielten“, sagte Ayrey. „Interview-Plattformen enthielten auch sensible Informationen über Kandidaten-Feedback, Angebote und Ablehnungen.“

OAuth, short for open authorization, refers to an open standard for access delegation, allowing users to grant websites or applications access to their information on other websites without having to give their passwords. This is accomplished by making use of an access token to verify the user's identity and allow the service to access the resource the token is intended for.

OAuth, die Abkürzung für Open Authorization, bezieht sich auf einen offenen Standard zur Zugriffsdelegierung, der es Benutzern ermöglicht, Websites oder Anwendungen Zugriff auf ihre Informationen auf anderen Websites zu gewähren, ohne ihre Passwörter preisgeben zu müssen. Dies wird erreicht, indem ein Zugriffstoken verwendet wird, um die Identität des Benutzers zu überprüfen und dem Dienst den Zugriff auf die Ressource zu ermöglichen, für die das Token bestimmt ist.

When "Sign in with Google" is used to sign in to an application such as Slack, Google sends the service a set of claims about the user, including their email address and the hosted domain, which could then be utilized to log users into their accounts.

Wenn „Mit Google anmelden“ verwendet wird, um sich bei einer Anwendung wie Slack anzumelden, sendet Google dem Dienst eine Reihe von Ansprüchen über den Benutzer, einschließlich seiner E-Mail-Adresse und der gehosteten Domain, die dann verwendet werden könnten, um Benutzer bei ihm anzumelden Konten.

This also means that if a service is solely relying on these pieces of information to authenticate users, it also opens the door to a scenario where domain ownership changes could allow an attacker to regain access to old employee accounts.

Dies bedeutet auch, dass, wenn sich ein Dienst zur Authentifizierung von Benutzern ausschließlich auf diese Informationen verlässt, dies auch die Tür zu einem Szenario öffnet, in dem Änderungen des Domänenbesitzes es einem Angreifer ermöglichen könnten, wieder Zugriff auf alte Mitarbeiterkonten zu erhalten.

Truffle also pointed out Google's OAuth ID token includes a unique user identifier – the sub claim – that could theoretically prevent the problem, but that has been found to be unreliable. It's worth noting that Microsoft's Entra ID tokens include the sub or oid claims to store an immutable value per user.

Truffle wies auch darauf hin, dass das OAuth-ID-Token von Google eine eindeutige Benutzerkennung – den Sub-Claim – enthält, der das Problem theoretisch verhindern könnte, sich aber als unzuverlässig erwiesen hat. Es ist erwähnenswert, dass die Entra-ID-Tokens von Microsoft die Sub- oder Oid-Ansprüche enthalten, um einen unveränderlichen Wert pro Benutzer zu speichern.

While Google initially responded to the vulnerability disclosure by stating that it is intended behavior, it has since re-opened the bug report as of December 19, 2024, awarding Ayrey a bounty of $1,337. It has also qualified the issue as an "abuse-related methodology with high impact."

Während Google zunächst auf die Offenlegung der Sicherheitslücke mit der Aussage reagierte, dass es sich um beabsichtigtes Verhalten handele, hat es den Fehlerbericht inzwischen am 19. Dezember 2024 erneut geöffnet und Ayrey ein Kopfgeld von 1.337 US-Dollar zugesprochen. Es hat das Problem auch als „missbrauchsbezogene Methodik mit großer Auswirkung“ eingestuft.

In the meantime, there are no protections that downstream software providers can take to protect against the vulnerability in Google's OAuth implementation. The Hacker News has reached out to Google for further comment, and we will update the story if we hear back.

In der Zwischenzeit gibt es keine Schutzmaßnahmen, die Downstream-Softwareanbieter ergreifen können, um sich vor der Schwachstelle in der OAuth-Implementierung von Google zu schützen. The Hacker News hat Google um weitere Kommentare gebeten und wir werden die Geschichte aktualisieren, sobald wir etwas hören.

"As an individual, once you've been off-boarded from a startup, you lose your ability to protect your data in these accounts, and you are subject to whatever fate befalls the future of the startup and domain," Ayrey said. "Without immutable identifiers for users and workspaces, domain ownership changes will continue to compromise accounts."

„Sobald Sie als Einzelperson aus einem Startup ausgeschieden sind, verlieren Sie Ihre Fähigkeit, Ihre Daten in diesen Konten zu schützen, und Sie sind dem Schicksal ausgesetzt, welches Schicksal auch immer die Zukunft des Startups und der Domain ereilt“, sagte Ayrey. „Ohne unveränderliche Identifikatoren für Benutzer und Arbeitsbereiche werden Konten durch Änderungen des Domänenbesitzes weiterhin gefährdet.“