Google의 "Google로 로그인" 인증 흐름 결함으로 인해 공격자가 실패한 스타트업의 도메인을 구매하여 민감한 데이터에 액세스할 수 있음

민감한 데이터에 액세스하기 위해 도메인 소유권의 특이한 점을 이용하는 Google의 "Google로 로그인" 인증 흐름의 "결함"에 대한 새로운 연구 결과가 나왔습니다.

A "deficiency" in Google's "Sign in with Google" authentication flow has been uncovered by new research, exploiting a quirk in domain ownership to gain access to sensitive data.

중요한 데이터에 액세스하기 위해 도메인 소유권의 특이한 점을 악용하는 새로운 연구를 통해 Google의 "Google로 로그인" 인증 흐름의 "결함"이 밝혀졌습니다.

"Google's OAuth login doesn't protect against someone purchasing a failed startup's domain and using it to re-create email accounts for former employees," Truffle Security co-founder and CEO Dylan Ayrey said in a Monday report.

트러플 시큐리티(Truffle Security)의 공동 창립자이자 CEO인 딜런 에이레이(Dylan Ayrey)는 월요일 보고서에서 “구글의 OAuth 로그인은 실패한 스타트업의 도메인을 구입하고 이를 사용하여 전직 직원의 이메일 계정을 다시 만드는 것을 방지하지 못합니다.”라고 말했습니다.

"And while you can't access old email data, you can use those accounts to log into all the different SaaS products that the organization used."

"그리고 오래된 이메일 데이터에 액세스할 수는 없지만 해당 계정을 사용하여 조직에서 사용했던 모든 다양한 SaaS 제품에 로그인할 수 있습니다."

The San Francisco-based company said the issue has the potential to put millions of American users' data at risk simply by purchasing a defunct domain associated with a failed startup and gaining unauthorized access to old employee accounts related to various applications like OpenAI ChatGPT, Slack, Notion, Zoom, and even HR systems.

샌프란시스코에 본사를 둔 이 회사는 실패한 스타트업과 관련된 사용되지 않는 도메인을 구입하고 OpenAI ChatGPT, Slack과 같은 다양한 애플리케이션과 관련된 이전 직원 계정에 무단 액세스를 얻는 것만으로도 수백만 명의 미국 사용자의 데이터를 위험에 빠뜨릴 수 있는 문제가 있다고 말했습니다. , Notion, Zoom, 심지어 HR 시스템까지.

"The most sensitive accounts included HR systems, which contained tax documents, pay stubs, insurance information, social security numbers, and more," Ayrey said. "Interview platforms also contained sensitive information about candidate feedback, offers, and rejections."

Ayrey는 "가장 민감한 계정에는 세금 문서, 급여명세서, 보험 정보, 사회보장번호 등이 포함된 HR 시스템이 포함되어 있습니다"라고 말했습니다. "인터뷰 플랫폼에는 후보자 피드백, 제안 및 거부에 대한 민감한 정보도 포함되어 있습니다."

OAuth, short for open authorization, refers to an open standard for access delegation, allowing users to grant websites or applications access to their information on other websites without having to give their passwords. This is accomplished by making use of an access token to verify the user's identity and allow the service to access the resource the token is intended for.

공개 인증(Open Authorization)의 약자인 OAuth는 액세스 위임을 위한 개방형 표준을 말하며, 사용자가 비밀번호를 제공하지 않고도 웹사이트나 애플리케이션이 다른 웹사이트에 있는 자신의 정보에 액세스할 수 있도록 허용합니다. 이는 액세스 토큰을 사용하여 사용자의 신원을 확인하고 서비스가 토큰이 의도한 리소스에 액세스할 수 있도록 허용함으로써 수행됩니다.

When "Sign in with Google" is used to sign in to an application such as Slack, Google sends the service a set of claims about the user, including their email address and the hosted domain, which could then be utilized to log users into their accounts.

"Google로 로그인"을 사용하여 Slack과 같은 애플리케이션에 로그인하는 경우 Google은 이메일 주소 및 호스트 도메인을 포함하여 사용자에 대한 일련의 클레임을 서비스에 보냅니다. 계정.

This also means that if a service is solely relying on these pieces of information to authenticate users, it also opens the door to a scenario where domain ownership changes could allow an attacker to regain access to old employee accounts.

이는 또한 서비스가 사용자를 인증하기 위해 이러한 정보에만 의존하는 경우 도메인 소유권 변경으로 인해 공격자가 이전 직원 계정에 다시 액세스할 수 있는 시나리오의 문이 열린다는 의미이기도 합니다.

Truffle also pointed out Google's OAuth ID token includes a unique user identifier – the sub claim – that could theoretically prevent the problem, but that has been found to be unreliable. It's worth noting that Microsoft's Entra ID tokens include the sub or oid claims to store an immutable value per user.

Truffle은 또한 Google의 OAuth ID 토큰에 이론적으로 문제를 방지할 수 있는 고유한 사용자 식별자(sub 클레임)가 포함되어 있지만 신뢰할 수 없는 것으로 밝혀졌다고 지적했습니다. Microsoft의 Entra ID 토큰에는 사용자당 불변 값을 저장하기 위한 sub 또는 oid 클레임이 포함되어 있다는 점은 주목할 가치가 있습니다.

While Google initially responded to the vulnerability disclosure by stating that it is intended behavior, it has since re-opened the bug report as of December 19, 2024, awarding Ayrey a bounty of $1,337. It has also qualified the issue as an "abuse-related methodology with high impact."

Google은 처음에 취약점 공개에 대해 의도된 동작이라고 밝혔지만 이후 2024년 12월 19일에 버그 보고서를 다시 공개하여 Ayrey에게 1,337달러의 현상금을 수여했습니다. 또한 이 문제를 "영향력이 큰 학대 관련 방법론"으로 규정했습니다.

In the meantime, there are no protections that downstream software providers can take to protect against the vulnerability in Google's OAuth implementation. The Hacker News has reached out to Google for further comment, and we will update the story if we hear back.

그 전까지는 다운스트림 소프트웨어 제공업체가 Google OAuth 구현의 취약점으로부터 보호하기 위해 취할 수 있는 보호 조치가 없습니다. Hacker News는 추가 의견을 얻기 위해 Google에 연락했으며 답변을 받으면 이야기를 업데이트하겠습니다.

"As an individual, once you've been off-boarded from a startup, you lose your ability to protect your data in these accounts, and you are subject to whatever fate befalls the future of the startup and domain," Ayrey said. "Without immutable identifiers for users and workspaces, domain ownership changes will continue to compromise accounts."

Ayrey는 "개인으로서 스타트업에서 퇴출되면 해당 계정의 데이터를 보호할 수 있는 능력을 잃게 되며 스타트업과 도메인의 미래에 닥칠 모든 운명에 직면하게 됩니다"라고 말했습니다. "사용자 및 작업 공간에 대한 변경 불가능한 식별자가 없으면 도메인 소유권 변경으로 인해 계정이 계속 손상될 것입니다."