Aggiornamenti recenti Gennaio 15th, 2025 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Milioni di account Google “defunti” sono vulnerabili a un bug di OAuth
- Banshee macOS sfrutta XProtect di Apple per eludere i controlli di sicurezza
- CERT-AGID 4 – 10 gennaio: Vidar protagonista con una campagna malspam
- Una campagna di phishing sfrutta Microsoft 365 per compromettere gli account PayPal
- Gli Stati Uniti cambiano opinione sulla crittografia e sulle backdoor
Milioni di account Google “defunti” sono vulnerabili a un bug di OAuth
Un bug presente nel flusso di autenticazione degli account Google sta mettendo a rischio i dati di milioni di vecchi account. A dirlo è un ricercatori di Truffle Security: in un post sul blog della firma di sicurezza, il ricercatore ha specificato che un attaccante può acquistare vecchi domini aziendali inutilizzati per accedere ai servizi usati nell’organizzazione.
Di fatto un cybercriminale può reclamare gli account Google di ex dipendenti di una compagnia e, anche se non può accedere alle vecchie email, può comunque sfruttarli per accedere ai servizi dell’azienda e quindi ai dati condivisi su di essi, anche quelli sensibili.
Dylan Ayrey, il ricercatore che ha individuato il bug, ha acquistato uno di questi account ed è riuscito a effettuare il login su servizi quali ChatGPT, Slack, Notion, Zoom e il sistema gestionale delle risorse umane. Ayrey è riuscito così a entrare in possesso dei Social Security Number dei dipendenti, a documenti finanziari, a informazioni assicurative, alle buste paga e a molti altri dati sensibili.
La vulnerabilità sta nel fatto che nel sistema di autenticazione OAuth di Google vengono usati dei “claim”, informazioni sull’utente che vengono inviate ai servizi in uso. I servizi usano queste informazioni per determinare se un utente può accedere; tra i dati condivisi ci sono anche “hd claim”, usato per indicare il dominio dell’azienda, e “email claim”, legato invece all’indirizzo email specifico dell’utente.
I provider di servizi solitamente usano questi due “claim” per determinare se un dato utente può accedere in un determinato workspace aziendale. Sfruttando queste due informazioni, i servizi non riescono a distinguere tra vecchi e nuovi proprietari, permettendo a questi ultimi di accedere agli account di vecchi dipendenti.
“Quando qualcuno acquista il dominio di un’azienda defunta, eredita le stesse rivendicazioni, garantendo l’accesso ai vecchi account dei dipendenti“ sottolinea Ayrey. Il ricercatore ha individuato tale “sub claim”, un identificatore univoco dell’utente che, almeno teoricamente, potrebbe prevenire il problema degli accessi ai vecchi account; nella pratica, però, non è una strada percorribile: questo “claim” non è consistente in quanto ha un tasso di errore dello 0,04%, casi in cui non rimane lo stesso per l’utente. I provider sono quindi costretti a basarsi su altri metodi di identificazione, solitamente i già citati hd ed email.
L’impatto del bug di Google
L’impatto della vulnerabilità è significativo: solo prendendo in esame le startup tech americane, considerate le realtà più a rischio di chiusura, Ayrey riporta che ci sono 6 milioni di dipendenti che lavorano per queste realtà; considerando, afferma il ricercatore, che in media il 90% di queste startup fallisce e che il 50% di esse usa Google per gli account email, i cybercriminali hanno grande spazio di manovra.
Nel dettaglio, Ayrey ha usato il dataset di Crunchbase sulle startup e ha trovato più di 100.000 domini disponibili per l’acquisto dopo il fallimento delle compagnie. “Se ogni startup che ha fallite ha avuto in media 10 dipendenti nel corso del tempo e usato 10 diversi servizi SaaS, parliamo dell’accesso ai dati sensibili di oltre 10 milioni di account” ha spiegato il ricercatore.
Ayrey ha aperto un ticket a Google segnalando il problema e condividendo un Proof-of-Concept, includendo nella descrizione anche due diversi modi per risolvere il bug. Inizialmente la compagnia ha chiuso il ticket specificando che il comportamento di OAuth era quello previsto e che quindi non avrebbe risolto il problema; tre mesi dopo la segnalazione, Google è tornata sui suoi passi e, dopo aver pagato una ricompensa al ricercatore, ha dichiarato di aver iniziato a lavorare un fix. A distanza di quasi un mese dall’ultima risposta, non ci sono aggiornamenti sulla risoluzione del bug.
Al momento né i fornitori di servizi SaaS né le compagnie a rischio possono fare qualcosa per risolvere definitivamente il problema. I provider possono solo implementare misure di protezione aggiuntive controllando la data di registrazione dei nuovi (vecchi) domini e introdurre l’approvazione degli amministratori per gli accessi , ma queste misure introducono costi e difficoltà che non tutti i fornitori riescono ad affrontare. “L’eventuale ripresa del problema da parte di Google è promettente, ma fino a quando non verrà implementata una soluzione, i dati e gli account di milioni di americani rimarranno vulnerabili“.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Gli Stati Uniti cambiano opinione sulla crittografia e... Se finora l’FBI e il governo degli Stati Uniti ha... -
Normative di cybersecurity: non uno spauracchio, ma... Oggi le aziende italiane non solo devono affrontare nuove e... -
Crescono gli attacchi zero-day nei dispositivi edge di rete Negli ultimi anni gli attacchi zero-day nei dispositivi... -
Sempre più aziende redigono i report sugli incidenti di... Nonostante gli sforzi per redigere e consegnare i report... -
Gli hacker nord-coreani hanno rubato 1.3 miliardi di... Tempo di bilanci di fine anno anche per il mondo della...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Milioni di account Google “defunti” sono... Un bug presente nel flusso di autenticazione degli account... -
Banshee macOS sfrutta XProtect di Apple per eludere i... I ricercatori di Check Point Research hanno studiato una... -
CERT-AGID 4 – 10 gennaio: Vidar protagonista con una... Nel corso della settimana, il CERT-AGID ha rilevato e... -
Una campagna di phishing sfrutta Microsoft 365 per... Di recente è emersa una nuova campagna di phishing che... -
Gli Stati Uniti cambiano opinione sulla crittografia e... Se finora l’FBI e il governo degli Stati Uniti ha...
Ransomware: la serie
No posts found.
