Google의 "Google로 로그인" 인증 프로세스의 결함으로 인해 민감한 사용자 데이터가 노출될 수 있음

Google의 'Google 계정으로 로그인' 인증 프로세스를 통한 OAuth(개방형 인증)의 심각한 결함으로 인해 민감한 사용자 데이터가 노출될 수 있습니다.

A critical vulnerability in OAuth (Open Authorization) via Google's "Sign in with Google" authentication flow can lead to the exposure of sensitive user data. By exploiting a weakness related to domain ownership, attackers can gain unauthorized access to various applications, including critical SaaS platforms.

Google의 'Google 계정으로 로그인' 인증 흐름을 통한 OAuth(공개 승인)의 심각한 취약점으로 인해 민감한 사용자 데이터가 노출될 수 있습니다. 공격자는 도메인 소유권과 관련된 약점을 악용하여 중요한 SaaS 플랫폼을 포함한 다양한 애플리케이션에 대한 무단 액세스를 얻을 수 있습니다.

Discovered by Truffle Security, the vulnerability stems from the ability to purchase domains of failed startups and re-create email accounts once used by former employees. While this doesn't allow access to previous email data, it does enable attackers to utilize these accounts to log in to SaaS products initially accessible with those credentials.

Truffle Security가 발견한 이 취약점은 실패한 스타트업의 도메인을 구매하고 이전 직원이 사용했던 이메일 계정을 다시 생성하는 능력에서 비롯됩니다. 이는 이전 이메일 데이터에 대한 액세스를 허용하지 않지만 공격자가 이러한 계정을 활용하여 처음에 해당 자격 증명으로 액세스할 수 있는 SaaS 제품에 로그인할 수 있도록 합니다.

Other compromised platforms include communication, project management, and even interview systems, exposing sensitive business and candidate data to exploitation.

손상된 다른 플랫폼에는 커뮤니케이션, 프로젝트 관리, 심지어 인터뷰 시스템까지 포함되어 민감한 비즈니스 및 후보자 데이터가 악용될 수 있습니다.

Users can grant websites or applications access to their data from other services such as Google via OAuth without sharing passwords. When using the "Sign in with Google" feature, Google shares key user claims—like email and domain information—with third-party applications to authenticate users.

사용자는 비밀번호를 공유하지 않고도 OAuth를 통해 Google과 같은 다른 서비스의 데이터에 대한 액세스 권한을 웹사이트나 애플리케이션에 부여할 수 있습니다. 'Google 계정으로 로그인' 기능을 사용할 때 Google은 이메일 및 도메인 정보와 같은 주요 사용자 요청을 타사 애플리케이션과 공유하여 사용자를 인증합니다.

Problems arise when apps rely solely on these claims for user authentication. If an organization ceases operations and its domain becomes available for purchase, attackers can acquire the domain, re-create email accounts, and use these to regain access to SaaS accounts tied to the defunct domain.

앱이 사용자 인증을 위해 이러한 클레임에만 의존하는 경우 문제가 발생합니다. 조직이 운영을 중단하고 해당 도메인을 구매할 수 있게 되면 공격자는 도메인을 획득하고 이메일 계정을 다시 생성한 다음 이를 사용하여 존재하지 않는 도메인에 연결된 SaaS 계정에 다시 액세스할 수 있습니다.

Furthermore, Google's OAuth ID tokens include a unique user identifier—the "sub claim"—that could technically mitigate this vulnerability. However, Truffle found this identifier unreliable in practice. In contrast, Microsoft Entra includes both "sub" and "oid" claims, ensuring an immutable user identifier to prevent such exploits.

또한 Google의 OAuth ID 토큰에는 이 취약점을 기술적으로 완화할 수 있는 고유한 사용자 식별자('sub Claim')가 포함되어 있습니다. 그러나 Truffle은 이 식별자가 실제로는 신뢰할 수 없다는 사실을 발견했습니다. 이와 대조적으로 Microsoft Entra에는 "sub" 및 "oid" 클레임이 모두 포함되어 있어 이러한 악용을 방지하기 위해 변경할 수 없는 사용자 식별자를 보장합니다.

This vulnerability affects millions of users across widely adopted SaaS applications such as OpenAI ChatGPT, Slack, Notion, and Zoom. The potential compromise is particularly concerning for accounts linked to HR systems, exposing highly sensitive personal and financial information.

이 취약점은 OpenAI ChatGPT, Slack, Notion 및 Zoom과 같이 널리 채택된 SaaS 애플리케이션 전반에 걸쳐 수백만 명의 사용자에게 영향을 미칩니다. 잠재적인 손상은 특히 HR 시스템에 연결된 계정에 대해 우려되며 매우 민감한 개인 및 금융 정보를 노출시킵니다.

Google initially classified the flaw as "intended behavior" but re-opened the bug report on December 19, 2024, after further evaluation. The tech giant awarded Dylan Ayrey a bounty of $1,337 and has labeled the issue as an "abuse-related methodology with high impact."

Google은 처음에 이 결함을 '의도된 동작'으로 분류했지만 추가 평가를 거쳐 2024년 12월 19일에 버그 보고서를 다시 공개했습니다. 이 거대 기술 기업은 Dylan Ayrey에게 1,337달러의 현상금을 수여했으며 이 문제를 "영향력이 큰 학대 관련 방법론"으로 분류했습니다.