|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Articles d’actualité sur les crypto-monnaies
La faille du flux d'authentification « Connectez-vous avec Google » de Google permet aux attaquants d'accéder à des données sensibles en achetant les domaines de startups en échec
Jan 15, 2025 at 12:08 am
De nouvelles recherches ont levé le rideau sur une « déficience » dans le flux d'authentification « Connectez-vous avec Google » de Google, qui exploite une bizarrerie dans la propriété du domaine pour accéder à des données sensibles.
A "deficiency" in Google's "Sign in with Google" authentication flow has been uncovered by new research, exploiting a quirk in domain ownership to gain access to sensitive data.
Une "déficience" dans le flux d'authentification "Connectez-vous avec Google" de Google a été découverte par de nouvelles recherches, exploitant une bizarrerie dans la propriété du domaine pour accéder à des données sensibles.
"Google's OAuth login doesn't protect against someone purchasing a failed startup's domain and using it to re-create email accounts for former employees," Truffle Security co-founder and CEO Dylan Ayrey said in a Monday report.
"La connexion OAuth de Google ne protège pas contre quelqu'un qui achète le domaine d'une startup en faillite et l'utilise pour recréer des comptes de messagerie pour d'anciens employés", a déclaré Dylan Ayrey, co-fondateur et PDG de Truffle Security, dans un rapport publié lundi.
"And while you can't access old email data, you can use those accounts to log into all the different SaaS products that the organization used."
"Et même si vous ne pouvez pas accéder aux anciennes données de messagerie, vous pouvez utiliser ces comptes pour vous connecter à tous les différents produits SaaS utilisés par l'organisation."
The San Francisco-based company said the issue has the potential to put millions of American users' data at risk simply by purchasing a defunct domain associated with a failed startup and gaining unauthorized access to old employee accounts related to various applications like OpenAI ChatGPT, Slack, Notion, Zoom, and even HR systems.
La société basée à San Francisco a déclaré que le problème pourrait potentiellement mettre en danger les données de millions d'utilisateurs américains simplement en achetant un domaine défunt associé à une startup en échec et en obtenant un accès non autorisé aux anciens comptes d'employés liés à diverses applications comme OpenAI ChatGPT, Slack. , Notion, Zoom et même les systèmes RH.
"The most sensitive accounts included HR systems, which contained tax documents, pay stubs, insurance information, social security numbers, and more," Ayrey said. "Interview platforms also contained sensitive information about candidate feedback, offers, and rejections."
"Les comptes les plus sensibles comprenaient les systèmes RH, qui contenaient des documents fiscaux, des fiches de paie, des informations sur les assurances, des numéros de sécurité sociale, etc.", a déclaré Ayrey. "Les plateformes d'entretien contenaient également des informations sensibles sur les commentaires, les offres et les refus des candidats."
OAuth, short for open authorization, refers to an open standard for access delegation, allowing users to grant websites or applications access to their information on other websites without having to give their passwords. This is accomplished by making use of an access token to verify the user's identity and allow the service to access the resource the token is intended for.
OAuth, abréviation d'autorisation ouverte, fait référence à un standard ouvert de délégation d'accès, permettant aux utilisateurs d'autoriser des sites Web ou des applications à accéder à leurs informations sur d'autres sites Web sans avoir à donner leur mot de passe. Ceci est accompli en utilisant un jeton d'accès pour vérifier l'identité de l'utilisateur et permettre au service d'accéder à la ressource à laquelle le jeton est destiné.
When "Sign in with Google" is used to sign in to an application such as Slack, Google sends the service a set of claims about the user, including their email address and the hosted domain, which could then be utilized to log users into their accounts.
Lorsque « Se connecter avec Google » est utilisé pour se connecter à une application telle que Slack, Google envoie au service un ensemble de déclarations sur l'utilisateur, y compris son adresse e-mail et le domaine hébergé, qui pourraient ensuite être utilisées pour connecter les utilisateurs à leur compte. comptes.
This also means that if a service is solely relying on these pieces of information to authenticate users, it also opens the door to a scenario where domain ownership changes could allow an attacker to regain access to old employee accounts.
Cela signifie également que si un service s'appuie uniquement sur ces informations pour authentifier les utilisateurs, cela ouvre également la porte à un scénario dans lequel des changements de propriété de domaine pourraient permettre à un attaquant de retrouver l'accès aux anciens comptes des employés.
Truffle also pointed out Google's OAuth ID token includes a unique user identifier – the sub claim – that could theoretically prevent the problem, but that has been found to be unreliable. It's worth noting that Microsoft's Entra ID tokens include the sub or oid claims to store an immutable value per user.
Truffle a également souligné que le jeton d'identification OAuth de Google inclut un identifiant d'utilisateur unique – la sous-revendication – qui pourrait théoriquement éviter le problème, mais qui s'est avéré peu fiable. Il convient de noter que les jetons Entra ID de Microsoft incluent les revendications sub ou oid pour stocker une valeur immuable par utilisateur.
While Google initially responded to the vulnerability disclosure by stating that it is intended behavior, it has since re-opened the bug report as of December 19, 2024, awarding Ayrey a bounty of $1,337. It has also qualified the issue as an "abuse-related methodology with high impact."
Alors que Google a initialement répondu à la divulgation de la vulnérabilité en déclarant qu'il s'agissait d'un comportement intentionnel, il a depuis rouvert le rapport de bogue le 19 décembre 2024, attribuant à Ayrey une prime de 1 337 $. Il a également qualifié le problème de « méthodologie liée aux abus à fort impact ».
In the meantime, there are no protections that downstream software providers can take to protect against the vulnerability in Google's OAuth implementation. The Hacker News has reached out to Google for further comment, and we will update the story if we hear back.
En attendant, les fournisseurs de logiciels en aval ne peuvent prendre aucune protection pour se protéger contre la vulnérabilité de la mise en œuvre OAuth de Google. Hacker News a contacté Google pour de plus amples commentaires, et nous mettrons à jour l'histoire si nous recevons une réponse.
"As an individual, once you've been off-boarded from a startup, you lose your ability to protect your data in these accounts, and you are subject to whatever fate befalls the future of the startup and domain," Ayrey said. "Without immutable identifiers for users and workspaces, domain ownership changes will continue to compromise accounts."
"En tant qu'individu, une fois que vous avez été exclu d'une startup, vous perdez votre capacité à protéger vos données dans ces comptes, et vous êtes soumis au sort qui arrive à l'avenir de la startup et du domaine", a déclaré Ayrey. "Sans identifiants immuables pour les utilisateurs et les espaces de travail, les changements de propriété de domaine continueront de compromettre les comptes."
Clause de non-responsabilité:info@kdj.com
The information provided is not trading advice. kdj.com does not assume any responsibility for any investments made based on the information provided in this article. Cryptocurrencies are highly volatile and it is highly recommended that you invest with caution after thorough research!
If you believe that the content used on this website infringes your copyright, please contact us immediately (info@kdj.com) and we will delete it promptly.
-
- Nvidia vole la vedette alors que le marché boursier se redresse grâce à l'optimisme de l'IA
- Jan 15, 2025 at 10:55 am
- La Bourse a débuté la semaine sur une note positive, avec une hausse des principaux indices lundi matin. Le secteur technologique, en particulier les entreprises axées sur l'IA, a été à l'avant-garde de la reprise, alimenté par l'optimisme autour de Nvidia et d'autres leaders de croissance.
-
- Les analystes de Wall Street se tournent vers l'avenir du S&P 500 et prédisent une année 2025 haussière
- Jan 15, 2025 at 10:50 am
- Le S&P 500 a connu une année 2024 exceptionnelle, avec une hausse de 23 %, marquant sa meilleure performance sur deux ans depuis des décennies avec un gain combiné de 53 %, le plus fort depuis la hausse de 66 % entre 1997 et 1998.
-
- Les meilleurs Altcoins à rejoindre aujourd'hui : Qubetics ($TICS), Chainlink et VeChain
- Jan 15, 2025 at 10:50 am
- Les crypto-monnaies continuent de remodeler la finance et la technologie mondiales, attirant des millions d’investisseurs et de passionnés. Avec de nouveaux développements dans la blockchain
-
- Coinbase résout les retards de transaction, surmonte les défis réglementaires et étend son portefeuille de services
- Jan 15, 2025 at 10:50 am
- Comprendre les retards de transaction Current Ripple (XRP) de Coinbase. Coinbase, un nom important dans le paysage des échanges de crypto-monnaie, est actuellement aux prises avec des retards notables liés aux transactions Ripple (XRP).
-
- L'écosystème Shiba Inu lance un nouveau jeton de récompense TREAT et promet d'autres surprises en cours
- Jan 15, 2025 at 10:50 am
- L'équipe de l'écosystème Shiba Inu a officiellement présenté son nouveau jeton de récompense, TREAT, qui a commencé à être négocié sur trois bourses de crypto-monnaie : Bitget, KuCoin et Gate.io.
-
- Charles Hoskinson défend les participations ADA d'IOG face aux accusations de révisionnisme historique
- Jan 15, 2025 at 10:50 am
- Le fondateur Charles Hoskinson s'est adressé à Twitter pour répondre aux critiques croissantes concernant les avoirs ADA d'Input Output Global (IOG) et les stratégies d'adoption du réseau blockchain.