Google の「Sign in with Google」認証プロセスの欠陥により、ユーザーの機密データが漏洩する可能性がある

Google の「Sign in with Google」認証プロセスを介した OAuth (Open Authorization) 内の重大な欠陥により、機密性の高いユーザー データが漏洩する可能性があります。

A critical vulnerability in OAuth (Open Authorization) via Google's "Sign in with Google" authentication flow can lead to the exposure of sensitive user data. By exploiting a weakness related to domain ownership, attackers can gain unauthorized access to various applications, including critical SaaS platforms.

Google の「Sign in with Google」認証フローを介した OAuth (Open Authorization) に重大な脆弱性があり、機密ユーザー データの漏洩につながる可能性があります。攻撃者は、ドメインの所有権に関連する弱点を悪用することで、重要な SaaS プラットフォームを含むさまざまなアプリケーションに不正アクセスする可能性があります。

Discovered by Truffle Security, the vulnerability stems from the ability to purchase domains of failed startups and re-create email accounts once used by former employees. While this doesn't allow access to previous email data, it does enable attackers to utilize these accounts to log in to SaaS products initially accessible with those credentials.

Truffle Security によって発見されたこの脆弱性は、失敗したスタートアップのドメインを購入し、元従業員がかつて使用していた電子メール アカウントを再作成する機能に起因しています。これにより、以前の電子メール データへのアクセスは許可されませんが、攻撃者がこれらのアカウントを利用して、最初はその資格情報でアクセスできる SaaS 製品にログインできるようになります。

Other compromised platforms include communication, project management, and even interview systems, exposing sensitive business and candidate data to exploitation.

その他の侵害されたプラットフォームには、通信、プロジェクト管理、さらには面接システムも含まれており、ビジネスや候補者の機密データが悪用の危険にさらされます。

Users can grant websites or applications access to their data from other services such as Google via OAuth without sharing passwords. When using the "Sign in with Google" feature, Google shares key user claims—like email and domain information—with third-party applications to authenticate users.

ユーザーは、パスワードを共有せずに、OAuth 経由で Google などの他のサービスからのデータへのアクセスを Web サイトまたはアプリケーションに許可できます。 「Google でサインイン」機能を使用すると、Google はユーザーを認証するために、電子メールやドメイン情報などの主要なユーザー要求をサードパーティのアプリケーションと共有します。

Problems arise when apps rely solely on these claims for user authentication. If an organization ceases operations and its domain becomes available for purchase, attackers can acquire the domain, re-create email accounts, and use these to regain access to SaaS accounts tied to the defunct domain.

アプリがユーザー認証のためにこれらのクレームのみに依存している場合、問題が発生します。組織が業務を停止し、そのドメインが購入可能になると、攻撃者はドメインを取得し、電子メール アカウントを再作成し、それらを使用して、消滅したドメインに関連付けられた SaaS アカウントへのアクセスを取り戻すことができます。

Furthermore, Google's OAuth ID tokens include a unique user identifier—the "sub claim"—that could technically mitigate this vulnerability. However, Truffle found this identifier unreliable in practice. In contrast, Microsoft Entra includes both "sub" and "oid" claims, ensuring an immutable user identifier to prevent such exploits.

さらに、Google の OAuth ID トークンには、この脆弱性を技術的に軽減できる一意のユーザー識別子 (「サブ クレーム」) が含まれています。しかし、Truffle はこの識別子が実際には信頼できないことに気づきました。対照的に、Microsoft Entra には「sub」クレームと「oid」クレームの両方が含まれており、不変のユーザー識別子を確保してそのような悪用を防ぎます。

This vulnerability affects millions of users across widely adopted SaaS applications such as OpenAI ChatGPT, Slack, Notion, and Zoom. The potential compromise is particularly concerning for accounts linked to HR systems, exposing highly sensitive personal and financial information.

この脆弱性は、OpenAI ChatGPT、Slack、Notion、Zoom など、広く採用されている SaaS アプリケーション全体の数百万のユーザーに影響します。潜在的な侵害は、人事システムにリンクされたアカウントにとって特に懸念され、機密性の高い個人情報や財務情報が公開されます。

Google initially classified the flaw as "intended behavior" but re-opened the bug report on December 19, 2024, after further evaluation. The tech giant awarded Dylan Ayrey a bounty of $1,337 and has labeled the issue as an "abuse-related methodology with high impact."

Google は当初、この欠陥を「意図された動作」として分類していましたが、さらなる評価を経て、2024 年 12 月 19 日にバグレポートを再開しました。テクノロジー大手はディラン・エイリー氏に1,337ドルの報奨金を与え、この問題を「影響力の大きい虐待関連の方法論」として分類した。