Использование функции «Войти с помощью Google» несет риск нарушения конфиденциальности, и пока нет решения

учетная запись Google и пароль на экране смартфона рядом с ноутбуком

Авторизация на сайте через опцию «Войти с помощью Google» действительно очень удобна, и, возможно, вы уже использовали её сотни раз. Тем не менее, исследователи обнаружили, что использование этой функции в качестве сотрудника компании может привести к потенциальным утечкам конфиденциальной информации, и, что самое беспокойное, решения этой проблемы на данный момент не существует.

Функция «Войти с помощью Google» оставляет следы от предыдущих доменных пользователей

Как сообщает Trufflesecurity, была выявлена уязвимость в системе OAuth Google. Она затрагивает всех, кто работал в компании, позволяющей своим сотрудникам использовать вход с помощью Google, но впоследствии закрывшейся.

Вот в чем дело: когда вы работаете в компании и используете функцию «Войти с помощью Google», чтобы зайти в приложение вроде Slack с вашим рабочим аккаунтом, приложение получает две данные: доменное имя и электронный адрес. Если приложение получает обе эти данные, оно позволяет пользователю авторизоваться.

Часть, относящаяся к «домену», представляет собой имя домена компании, что сообщает приложению, что вы являетесь сотрудником конкретной компании. Однако, если компания закрывается, злоумышленник может приобрести и взять в свою собственность неиспользуемый домен. Если бизнес не произвел должную «очистку» перед закрытием, злоумышленник может восстановить адреса электронной почты сотрудников и использовать их для входа в сторонние сервисы.

К счастью, злоумышленник не смог получить доступ к старому аккаунту Gmail компании и читать его письма, но Trufflesecurity обнаружила, что он мог войти в аккаунты бывших сотрудников на ChatGPT, Slack, Notion, Zoom, системах HR и не только. И хотя все эти аккаунты могут содержать конфиденциальные данные, системы HR представляют наибольшую опасность, так как хранят информацию, такую как номера социальных страховок и банковские данные.

К сожалению, когда об этой уязвимости впервые сообщили, Google обвинила компании в том, что они не стерли свои данные должным образом. Однако после того, как Trufflesecurity продемонстрировала атаку на Shmoocon (вы можете увидеть это в видео выше на отметке 5:34:00), Google вновь начала расследование.

Тем временем, если вы использовали «Войти с помощью Google», когда работали в компании, которая впоследствии закрылась, ваши данные могут быть под угрозой. Следите за своей информацией и будьте готовы исправить ситуацию, если заметите утечку данных. И даже если вы никогда не использовали эту удобную функцию входа на работе, есть множество причин, по которым вам больше не следует использовать «Войти с помощью Google» на любом сайте.

Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!

Любите активный отдых на природе? Подписывайтесь на канал Поход лайфхак в Яндекс Дзен — кладезь полезных советов для любителей активного отдыха!

Вы также можете читать наши материалы в:

Алекс Бежбакин
Оцените автора
Добавить комментарий