Capitalisation boursière: $3.3586T 2.570%
Volume(24h): $122.2939B -30.310%
  • Capitalisation boursière: $3.3586T 2.570%
  • Volume(24h): $122.2939B -30.310%
  • Indice de peur et de cupidité:
  • Capitalisation boursière: $3.3586T 2.570%
Cryptos
Les sujets
Cryptospedia
Nouvelles
CryptosTopics
Vidéos
Top News
Cryptos
Les sujets
Cryptospedia
Nouvelles
CryptosTopics
Vidéos
bitcoin
bitcoin

$96982.411210 USD

2.24%

ethereum
ethereum

$3217.874237 USD

2.01%

xrp
xrp

$2.849975 USD

12.73%

tether
tether

$0.999647 USD

0.00%

bnb
bnb

$697.397561 USD

1.11%

solana
solana

$187.789241 USD

2.51%

dogecoin
dogecoin

$0.362622 USD

6.11%

usd-coin
usd-coin

$1.000036 USD

0.01%

cardano
cardano

$1.028149 USD

8.48%

tron
tron

$0.221612 USD

-0.55%

avalanche
avalanche

$36.663832 USD

3.96%

stellar
stellar

$0.470019 USD

12.29%

sui
sui

$4.532026 USD

-3.30%

toncoin
toncoin

$5.357446 USD

1.89%

chainlink
chainlink

$20.476690 USD

5.61%

Articles d’actualité sur les crypto-monnaies

La faille du flux d'authentification « Connectez-vous avec Google » de Google permet aux attaquants d'accéder à des données sensibles en achetant les domaines de startups en échec

Jan 15, 2025 at 12:08 am

De nouvelles recherches ont levé le rideau sur une « déficience » dans le flux d'authentification « Connectez-vous avec Google » de Google, qui exploite une bizarrerie dans la propriété du domaine pour accéder à des données sensibles.

La faille du flux d'authentification « Connectez-vous avec Google » de Google permet aux attaquants d'accéder à des données sensibles en achetant les domaines de startups en échec

A "deficiency" in Google's "Sign in with Google" authentication flow has been uncovered by new research, exploiting a quirk in domain ownership to gain access to sensitive data.

Une "déficience" dans le flux d'authentification "Connectez-vous avec Google" de Google a été découverte par de nouvelles recherches, exploitant une bizarrerie dans la propriété du domaine pour accéder à des données sensibles.

"Google's OAuth login doesn't protect against someone purchasing a failed startup's domain and using it to re-create email accounts for former employees," Truffle Security co-founder and CEO Dylan Ayrey said in a Monday report.

"La connexion OAuth de Google ne protège pas contre quelqu'un qui achète le domaine d'une startup en faillite et l'utilise pour recréer des comptes de messagerie pour d'anciens employés", a déclaré Dylan Ayrey, co-fondateur et PDG de Truffle Security, dans un rapport publié lundi.

"And while you can't access old email data, you can use those accounts to log into all the different SaaS products that the organization used."

"Et même si vous ne pouvez pas accéder aux anciennes données de messagerie, vous pouvez utiliser ces comptes pour vous connecter à tous les différents produits SaaS utilisés par l'organisation."

The San Francisco-based company said the issue has the potential to put millions of American users' data at risk simply by purchasing a defunct domain associated with a failed startup and gaining unauthorized access to old employee accounts related to various applications like OpenAI ChatGPT, Slack, Notion, Zoom, and even HR systems.

La société basée à San Francisco a déclaré que le problème pourrait potentiellement mettre en danger les données de millions d'utilisateurs américains simplement en achetant un domaine défunt associé à une startup en échec et en obtenant un accès non autorisé aux anciens comptes d'employés liés à diverses applications comme OpenAI ChatGPT, Slack. , Notion, Zoom et même les systèmes RH.

"The most sensitive accounts included HR systems, which contained tax documents, pay stubs, insurance information, social security numbers, and more," Ayrey said. "Interview platforms also contained sensitive information about candidate feedback, offers, and rejections."

"Les comptes les plus sensibles comprenaient les systèmes RH, qui contenaient des documents fiscaux, des fiches de paie, des informations sur les assurances, des numéros de sécurité sociale, etc.", a déclaré Ayrey. "Les plateformes d'entretien contenaient également des informations sensibles sur les commentaires, les offres et les refus des candidats."

OAuth, short for open authorization, refers to an open standard for access delegation, allowing users to grant websites or applications access to their information on other websites without having to give their passwords. This is accomplished by making use of an access token to verify the user's identity and allow the service to access the resource the token is intended for.

OAuth, abréviation d'autorisation ouverte, fait référence à un standard ouvert de délégation d'accès, permettant aux utilisateurs d'autoriser des sites Web ou des applications à accéder à leurs informations sur d'autres sites Web sans avoir à donner leur mot de passe. Ceci est accompli en utilisant un jeton d'accès pour vérifier l'identité de l'utilisateur et permettre au service d'accéder à la ressource à laquelle le jeton est destiné.

When "Sign in with Google" is used to sign in to an application such as Slack, Google sends the service a set of claims about the user, including their email address and the hosted domain, which could then be utilized to log users into their accounts.

Lorsque « Se connecter avec Google » est utilisé pour se connecter à une application telle que Slack, Google envoie au service un ensemble de déclarations sur l'utilisateur, y compris son adresse e-mail et le domaine hébergé, qui pourraient ensuite être utilisées pour connecter les utilisateurs à leur compte. comptes.

This also means that if a service is solely relying on these pieces of information to authenticate users, it also opens the door to a scenario where domain ownership changes could allow an attacker to regain access to old employee accounts.

Cela signifie également que si un service s'appuie uniquement sur ces informations pour authentifier les utilisateurs, cela ouvre également la porte à un scénario dans lequel des changements de propriété de domaine pourraient permettre à un attaquant de retrouver l'accès aux anciens comptes des employés.

Truffle also pointed out Google's OAuth ID token includes a unique user identifier – the sub claim – that could theoretically prevent the problem, but that has been found to be unreliable. It's worth noting that Microsoft's Entra ID tokens include the sub or oid claims to store an immutable value per user.

Truffle a également souligné que le jeton d'identification OAuth de Google inclut un identifiant d'utilisateur unique – la sous-revendication – qui pourrait théoriquement éviter le problème, mais qui s'est avéré peu fiable. Il convient de noter que les jetons Entra ID de Microsoft incluent les revendications sub ou oid pour stocker une valeur immuable par utilisateur.

While Google initially responded to the vulnerability disclosure by stating that it is intended behavior, it has since re-opened the bug report as of December 19, 2024, awarding Ayrey a bounty of $1,337. It has also qualified the issue as an "abuse-related methodology with high impact."

Alors que Google a initialement répondu à la divulgation de la vulnérabilité en déclarant qu'il s'agissait d'un comportement intentionnel, il a depuis rouvert le rapport de bogue le 19 décembre 2024, attribuant à Ayrey une prime de 1 337 $. Il a également qualifié le problème de « méthodologie liée aux abus à fort impact ».

In the meantime, there are no protections that downstream software providers can take to protect against the vulnerability in Google's OAuth implementation. The Hacker News has reached out to Google for further comment, and we will update the story if we hear back.

En attendant, les fournisseurs de logiciels en aval ne peuvent prendre aucune protection pour se protéger contre la vulnérabilité de la mise en œuvre OAuth de Google. Hacker News a contacté Google pour de plus amples commentaires, et nous mettrons à jour l'histoire si nous recevons une réponse.

"As an individual, once you've been off-boarded from a startup, you lose your ability to protect your data in these accounts, and you are subject to whatever fate befalls the future of the startup and domain," Ayrey said. "Without immutable identifiers for users and workspaces, domain ownership changes will continue to compromise accounts."

"En tant qu'individu, une fois que vous avez été exclu d'une startup, vous perdez votre capacité à protéger vos données dans ces comptes, et vous êtes soumis au sort qui arrive à l'avenir de la startup et du domaine", a déclaré Ayrey. "Sans identifiants immuables pour les utilisateurs et les espaces de travail, les changements de propriété de domaine continueront de compromettre les comptes."

Clause de non-responsabilité:info@kdj.com

The information provided is not trading advice. kdj.com does not assume any responsibility for any investments made based on the information provided in this article. Cryptocurrencies are highly volatile and it is highly recommended that you invest with caution after thorough research!

If you believe that the content used on this website infringes your copyright, please contact us immediately (info@kdj.com) and we will delete it promptly.

Autres articles publiés sur Jan 15, 2025