Araştırmacılar, Google’ın OAuth sisteminde, başarısız girişimlere ait eski çalışan hesaplarından potansiyel olarak hassas verilere erişim sağlayabilecek bir açık keşfetti.
Google’ın OAuth Sistemindeki Açık
Google’ın OAuth’u, kullanıcıların birçok platforma ve hizmete Google hesaplarıyla erişimini sağlayan bir oturum açma teknolojisidir. “Google ile giriş yap” seçeneğini kullandığınızda, OAuth kullanıyorsunuz demektir. Bu sistem, iş ortamlarında da geniş bir kullanım alanına sahiptir. Çalışanlar, yalnızca Workspace uygulamasına değil, aynı zamanda yazılım hizmeti (SaaS) modeli üzerinden üçüncü taraf platformlara da OAuth aracılığıyla erişim sağlarlar.
Eski Hesapların Tehlikesi
Herkesin birden fazla Google hesabı olabilir ve bazen bu hesapların bilgileri unutulabilir. Bu durumda, kaybolan hesap bir “ölü hesap” olarak kalır. Ancak, iş ortamlarında “ölü hesaplar” tutmanın daha fazla tehlikeleri vardır. Bu hesaplar, eski çalışanlara ait olabileceği için, üçüncü taraf hizmetlerdeki potansiyel olarak hassas verilere bağlı olabilir, bu da güvenlik risklerini artırır.
Tehditin Ortaya Çıkışı
Eylül 2024’te, Trufflesecurity ekibi, kötü niyetli aktörlerin suistimal edebileceği bir açığı tespit etti. O sırada Google, durumu “dolandırıcılık ve abus” olarak nitelendirirken, Dylan Ayrey, Trufflesecurity CEO’su, konuyu geçen Aralık ayında Shmoocon hacker konferansında açıkladı. Bu durum, Google’ın konuyu yeniden gözden geçirmesine ve araştırmacılara 1,337 dolarlık bir ödül sunmasına sebep oldu.
Google’ın OAuth oturum açma sistemi, birinin başarısız bir girişimin alan adını satın alıp eski çalışanlar için e-posta hesapları yeniden oluşturmasına karşı koruma sağlamıyor. diyerek sorunu dile getiren Ayrey, bunun sonucunda kötü niyetli kişilerin başarısız girişimlerin alan adlarını edinerek eski çalışanların hizmetlerine erişebileceğini vurguladı. Örneğin; ChatGPT, Notion, Zoom, Slack veya bazı İK platformlarına giriş yaparak eski çalışanların oturumlarını yeniden başlatabilirler.
Etki Alanını Genişletmek
Bir araştırmacı, eski bir girişimin insan kaynakları sistemlerinden özel verilere erişim sağlamak için sadece bir alan adı satın alarak bu açığı nasıl kullandığını gösterdi. Potansiyel saldırganlar, başarısız girişimlere ait alan adlarını hedef alarak bunları satın alabilir ve açığı istismar edebilirler. Crunchbase’in veritabanında artık mevcut olmayan yaklaşık 116.481 girişim alan adı bulunmaktadır. Bu durum, potansiyel olarak milyonlarca eski çalışan hesabının tehlike altında olduğunu gösteriyor.
Önleyici Tedbirler
OAuth sistemiyle ilgili problemleri önlemek için, işyerinizdeki kimlik bilgilerinizi kişisel hesaplarda kullanmaktan kaçınmalısınız. Bu, gelecekte saldırganların bu bilgileri çalmasını kolaylaştırabilir. Ayrıca, iş değiştirdiğinizde iş hesabınızdaki hassas verileri silmekte fayda var.