Исследование уязвимости
Специалисты выявили уязвимость в функции входа через Google OAuth «Войти через Google», которая может позволить злоумышленникам получить доступ к конфиденциальным данным закрывшихся компаний. Google признает наличие недостатка, но подчеркивает, что ответственность за безопасность данных лежит на самих компаниях.
Работа уязвимости
Процесс выглядит следующим образом: компания регистрируется в сервисе HR с использованием корпоративного почтового аккаунта и функции «Войти через Google». Компания может использовать HR-сервис для ведения контрактов сотрудников, выплат и других операций. Однако, после закрытия бизнеса и удаления домена, злоумышленники могут зарегистрировать тот же домен и восстановить электронную почту, использованную при входе. Это даст им возможность получить доступ к оставшейся информации в HR-сервисе.
Реакция Google
Несмотря на выявленные риски, Google не планирует разрабатывать решение проблемы, отметив, что клиенты должны самостоятельно обезопашивать свои данные, удаляя сторонние облачные сервисы при завершении работы. Представитель Google также порекомендовал бизнесам закрыть домены правильно и предложил использовать уникальные идентификаторы учетных записей для минимизации рисков.
Предложения по улучшению безопасности
Исследователи предложили Google внедрить неизменяемые идентификаторы, а поставщикам SaaS — добавить возможность перекрестной сверки дат регистрации домена, что повысит безопасность учетных данных.
Заключение
Заполненные ошибки безопасности и бездействие со стороны компаний создают условия для злоупотреблений со стороны злоумышленников. Компании должны строго соблюдать правила безопасного завершения работы и удалять все остаточные данные.
Источник: TechRadar
