Aggiornamenti recenti Febbraio 7th, 2025 11:57 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Di nuovo, una vecchia vulnerabilità di Outlook viene sfruttata dai criminali
- Silent Lynx: il gruppo APT torna all’attacco contro Kyrgyzstan e Turkmenistan
- Hacker russi fruttano un bug 0-day di 7-Zip per distribuire SmokeLoader
- Sophos acquisisce Secureworks e diventa il principale fornitore di servizi MDR
- Meta smantella una campagna di spionaggio su WhatsApp
Milioni di account Google “defunti” sono vulnerabili a un bug di OAuth
Un bug presente nel flusso di autenticazione degli account Google sta mettendo a rischio i dati di milioni di vecchi account. A dirlo è un ricercatori di Truffle Security: in un post sul blog della firma di sicurezza, il ricercatore ha specificato che un attaccante può acquistare vecchi domini aziendali inutilizzati per accedere ai servizi usati nell’organizzazione.
Di fatto un cybercriminale può reclamare gli account Google di ex dipendenti di una compagnia e, anche se non può accedere alle vecchie email, può comunque sfruttarli per accedere ai servizi dell’azienda e quindi ai dati condivisi su di essi, anche quelli sensibili.
Dylan Ayrey, il ricercatore che ha individuato il bug, ha acquistato uno di questi account ed è riuscito a effettuare il login su servizi quali ChatGPT, Slack, Notion, Zoom e il sistema gestionale delle risorse umane. Ayrey è riuscito così a entrare in possesso dei Social Security Number dei dipendenti, a documenti finanziari, a informazioni assicurative, alle buste paga e a molti altri dati sensibili.
La vulnerabilità sta nel fatto che nel sistema di autenticazione OAuth di Google vengono usati dei “claim”, informazioni sull’utente che vengono inviate ai servizi in uso. I servizi usano queste informazioni per determinare se un utente può accedere; tra i dati condivisi ci sono anche “hd claim”, usato per indicare il dominio dell’azienda, e “email claim”, legato invece all’indirizzo email specifico dell’utente.
I provider di servizi solitamente usano questi due “claim” per determinare se un dato utente può accedere in un determinato workspace aziendale. Sfruttando queste due informazioni, i servizi non riescono a distinguere tra vecchi e nuovi proprietari, permettendo a questi ultimi di accedere agli account di vecchi dipendenti.
“Quando qualcuno acquista il dominio di un’azienda defunta, eredita le stesse rivendicazioni, garantendo l’accesso ai vecchi account dei dipendenti“ sottolinea Ayrey. Il ricercatore ha individuato tale “sub claim”, un identificatore univoco dell’utente che, almeno teoricamente, potrebbe prevenire il problema degli accessi ai vecchi account; nella pratica, però, non è una strada percorribile: questo “claim” non è consistente in quanto ha un tasso di errore dello 0,04%, casi in cui non rimane lo stesso per l’utente. I provider sono quindi costretti a basarsi su altri metodi di identificazione, solitamente i già citati hd ed email.
L’impatto del bug di Google
L’impatto della vulnerabilità è significativo: solo prendendo in esame le startup tech americane, considerate le realtà più a rischio di chiusura, Ayrey riporta che ci sono 6 milioni di dipendenti che lavorano per queste realtà; considerando, afferma il ricercatore, che in media il 90% di queste startup fallisce e che il 50% di esse usa Google per gli account email, i cybercriminali hanno grande spazio di manovra.
Nel dettaglio, Ayrey ha usato il dataset di Crunchbase sulle startup e ha trovato più di 100.000 domini disponibili per l’acquisto dopo il fallimento delle compagnie. “Se ogni startup che ha fallite ha avuto in media 10 dipendenti nel corso del tempo e usato 10 diversi servizi SaaS, parliamo dell’accesso ai dati sensibili di oltre 10 milioni di account” ha spiegato il ricercatore.
Ayrey ha aperto un ticket a Google segnalando il problema e condividendo un Proof-of-Concept, includendo nella descrizione anche due diversi modi per risolvere il bug. Inizialmente la compagnia ha chiuso il ticket specificando che il comportamento di OAuth era quello previsto e che quindi non avrebbe risolto il problema; tre mesi dopo la segnalazione, Google è tornata sui suoi passi e, dopo aver pagato una ricompensa al ricercatore, ha dichiarato di aver iniziato a lavorare un fix. A distanza di quasi un mese dall’ultima risposta, non ci sono aggiornamenti sulla risoluzione del bug.
Al momento né i fornitori di servizi SaaS né le compagnie a rischio possono fare qualcosa per risolvere definitivamente il problema. I provider possono solo implementare misure di protezione aggiuntive controllando la data di registrazione dei nuovi (vecchi) domini e introdurre l’approvazione degli amministratori per gli accessi , ma queste misure introducono costi e difficoltà che non tutti i fornitori riescono ad affrontare. “L’eventuale ripresa del problema da parte di Google è promettente, ma fino a quando non verrà implementata una soluzione, i dati e gli account di milioni di americani rimarranno vulnerabili“.
Condividi l'articolo
Una vulnerabilità di UEFI Secure Boot permette l'esecuzione di codice durante il boot di sistema
L'IA generativa rivoluziona il cybercrimine e rende gli attacchi più pericolosi
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Privacy dei dati: la maggior parte degli utenti teme una... Quando si parla di dati e di privacy, gli utenti si dicono... -
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
L’IA generativa rivoluziona il cybercrimine e rende... Gli ultimi giorni dell’anno sono da sempre... -
Gli Stati Uniti cambiano opinione sulla crittografia e... Se finora l’FBI e il governo degli Stati Uniti ha... -
Normative di cybersecurity: non uno spauracchio, ma... Oggi le aziende italiane non solo devono affrontare nuove e...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa...
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Di nuovo, una vecchia vulnerabilità di Outlook viene... Un bug critico e noto di Outlook è stato sfruttato... -
Silent Lynx: il gruppo APT torna all’attacco contro... Silent Lynx, un gruppo APT di origine kazaka, è tornato... -
Hacker russi fruttano un bug 0-day di 7-Zip per distribuire... Il team di Threat Hunting della Zero Day Initiative di... -
Sophos acquisisce Secureworks e diventa il principale... Sophos ha completato l’acquisizione di Secureworks,... -
Meta smantella una campagna di spionaggio su WhatsApp Meta ha annunciato di aver smantellato una campagna di...
Ransomware: la serie
No posts found.
