Una vulnerabilidad en la funcionalidad de inicio de sesión OAuth de Google permite el acceso no autorizado a…

MADRID, 16 de enero (Portaltic/EP) –

Una vulnerabilidad en la funcionalidad de inicio de sesión OAuth de Google permite el acceso no autorizado a… La función de inicio de sesión OAuth de Google permite el acceso no autorizado a… Google permite el acceso no autorizado a… . permitiendo a los malos actores secuestrar millones de cuentas abandonadas y acceder a datos confidenciales de empresas emergentes y negocios que no eliminan su información antes de abandonar la empresa.

El investigador Dylan Ayrey de la firma de ciberseguridad Truffle ha señalado que muchas empresas cometen el error de no cerrar adecuadamente las cuentas antes de que expiren los nombres de dominio. Esto significa que cualquier usuario que las obtenga puede acceder a información como documentos fiscales y facturas, entre otras cosas.

Estas cuentas de Google admiten el inicio de sesión en Import OAuth, un estándar de autorización abierto que permite a las aplicaciones o sitios web acceder a una recursos protegidos del usuario final sin requerir las credenciales del usuario.
Según De esta manera, si un usuario compra un dominio usando una cuenta de Google que aún está activa y no ha sido restaurada, «esa persona heredará los mismos derechos». , dando a esa persona «acceso a su cuenta» de ex empleados», según señaló en el comunicado.
El investigador señaló que actualmente hay 6 millones de estadounidenses trabajando en nuevas empresas tecnológicas. El 90% de las startups del sector «finalmente fracasan» y el 50% de ellas dependen de Google Workspaces para su correo electrónico, las cuentas corporativas son abandonadas muchos.

Después de analizar un conjunto de datos de startups recopilados por Crunchbase, el analista concluyó que actualmente hay más de 100.000 dominios disponibles para la compra de startups. fracasó o desapareció.
Esto significa que si cada startup fallida tuvo un promedio de 10 empleados durante su vida y utilizó 10 programas de software como Para comprender la escala de este problema, los analistas de Truffle compraron uno de estos obsoletos dominios y descubrieron que podían acceder a cuentas de empleados antiguos desde el servicio. sistemas reconocidos como ChatGPT, Notion, Slack, Zoom y HR Systems, entre otros.

Con esta adquisición, se descubrió que las cuentas incluían sistemas de recursos humanos (RR.HH.), que contiene documentos fiscales. , recibos, nóminas, información de seguros y números de seguridad social. Las plataformas de entrevistas también contienen datos sobre ofertas de trabajo y rechazos.

Ayrey destacó que reportó el problema a Google el 30 de septiembre e hizo una prueba de este problema, pero Google lo cerró. El asunto demuestra que no tendrá solución. Meses después, recibió una recompensa económica de la empresa tecnológica que le informó que estaban trabajando en una solución.

Finalmente, dijo que la adquisición y el cambio de titularidad del dominio seguirán comprometiendo las cuentas, y mientras La intervención de Google en este asunto «es prometedora», las cuentas de millones de estadounidenses seguirán siendo vulnerables «hasta que se alcance una solución». «La ley se aplica», añadió. obra de arte».