Google の「Sign in with Google」認証フローの欠陥により、攻撃者は失敗したスタートアップのドメインを購入して機密データにアクセスできるようになる

新しい研究により、ドメイン所有権の特殊性を悪用して機密データにアクセスする、Google の「Sign in with Google」認証フローの「欠陥」の幕が引き戻されました。

A "deficiency" in Google's "Sign in with Google" authentication flow has been uncovered by new research, exploiting a quirk in domain ownership to gain access to sensitive data.

Google の「Sign in with Google」認証フローの「欠陥」が、新しい研究によって明らかになりました。これは、ドメイン所有権の特殊性を悪用して機密データにアクセスするものです。

"Google's OAuth login doesn't protect against someone purchasing a failed startup's domain and using it to re-create email accounts for former employees," Truffle Security co-founder and CEO Dylan Ayrey said in a Monday report.

Truffle Securityの共同創設者兼最高経営責任者（CEO）のDylan Ayrey氏は月曜日のレポートで、「GoogleのOAuthログインは、何者かが失敗したスタートアップのドメインを購入し、それを元従業員の電子メールアカウントの再作成に使用することを防ぐことはできない」と述べた。

"And while you can't access old email data, you can use those accounts to log into all the different SaaS products that the organization used."

「古い電子メール データにはアクセスできませんが、これらのアカウントを使用して、組織が使用していたさまざまな SaaS 製品すべてにログインできます。」

The San Francisco-based company said the issue has the potential to put millions of American users' data at risk simply by purchasing a defunct domain associated with a failed startup and gaining unauthorized access to old employee accounts related to various applications like OpenAI ChatGPT, Slack, Notion, Zoom, and even HR systems.

サンフランシスコに本拠を置く同社は、この問題は、失敗したスタートアップに関連する廃止されたドメインを購入し、OpenAI ChatGPT、Slackなどのさまざまなアプリケーションに関連する古い従業員アカウントに不正アクセスするだけで、数百万の米国ユーザーのデータを危険にさらす可能性があると述べた。 、Notion、Zoom、さらには HR システムまで。

"The most sensitive accounts included HR systems, which contained tax documents, pay stubs, insurance information, social security numbers, and more," Ayrey said. "Interview platforms also contained sensitive information about candidate feedback, offers, and rejections."

「最も機密性の高いアカウントには、税務書類、給与明細、保険情報、社会保障番号などが含まれる人事システムが含まれていました」とアイリー氏は述べた。 「面接プラットフォームには、候補者のフィードバック、オファー、拒否に関する機密情報も含まれていました。」

OAuth, short for open authorization, refers to an open standard for access delegation, allowing users to grant websites or applications access to their information on other websites without having to give their passwords. This is accomplished by making use of an access token to verify the user's identity and allow the service to access the resource the token is intended for.

OAuth は Open Authorization の略で、アクセス委任のオープン標準を指します。これにより、ユーザーはパスワードを入力しなくても、Web サイトまたはアプリケーションに他の Web サイト上の自分の情報へのアクセスを許可できます。これは、アクセス トークンを使用してユーザーの ID を確認し、トークンが対象とするリソースにサービスがアクセスできるようにすることで実現されます。

When "Sign in with Google" is used to sign in to an application such as Slack, Google sends the service a set of claims about the user, including their email address and the hosted domain, which could then be utilized to log users into their accounts.

Slack などのアプリケーションにサインインするために「Google でサインイン」を使用すると、Google はユーザーに関する一連のクレーム (電子メール アドレスやホストされているドメインなど) をサービスに送信し、ユーザーをそのサービスにログインさせるために利用される可能性があります。アカウント。

This also means that if a service is solely relying on these pieces of information to authenticate users, it also opens the door to a scenario where domain ownership changes could allow an attacker to regain access to old employee accounts.

これは、サービスがユーザーを認証するためにこれらの情報のみに依存している場合、ドメイン所有権の変更により攻撃者が古い従業員アカウントへのアクセスを取り戻す可能性があるというシナリオへの扉も開くことを意味します。

Truffle also pointed out Google's OAuth ID token includes a unique user identifier – the sub claim – that could theoretically prevent the problem, but that has been found to be unreliable. It's worth noting that Microsoft's Entra ID tokens include the sub or oid claims to store an immutable value per user.

Truffle 氏はまた、Google の OAuth ID トークンには、理論的には問題を防ぐことができる一意のユーザー識別子 (サブ クレーム) が含まれているが、信頼性が低いことが判明していると指摘しました。 Microsoft の Entra ID トークンには、ユーザーごとに不変の値を保存するための sub または oid クレームが含まれていることは注目に値します。

While Google initially responded to the vulnerability disclosure by stating that it is intended behavior, it has since re-opened the bug report as of December 19, 2024, awarding Ayrey a bounty of $1,337. It has also qualified the issue as an "abuse-related methodology with high impact."

Googleは当初、この脆弱性の公開に対し、意図された動作であると回答したが、2024年12月19日付でバグレポートを再開し、Ayrey氏に1,337ドルの報奨金を授与した。また、この問題を「影響力の大きい虐待関連の方法論」と認定した。

In the meantime, there are no protections that downstream software providers can take to protect against the vulnerability in Google's OAuth implementation. The Hacker News has reached out to Google for further comment, and we will update the story if we hear back.

それまでの間、下流のソフトウェア プロバイダーが Google の OAuth 実装の脆弱性から保護できる保護策はありません。 Hacker News はさらなるコメントを求めて Google に問い合わせを行っており、返答があれば記事を更新します。

"As an individual, once you've been off-boarded from a startup, you lose your ability to protect your data in these accounts, and you are subject to whatever fate befalls the future of the startup and domain," Ayrey said. "Without immutable identifiers for users and workspaces, domain ownership changes will continue to compromise accounts."

「個人として、スタートアップから外されると、これらのアカウント内のデータを保護する能力が失われ、スタートアップとドメインの将来に降りかかる運命に従うことになります」とアイリー氏は述べた。 「ユーザーとワークスペースの不変の識別子がなければ、ドメイン所有権の変更によりアカウントが侵害され続けることになります。」