在创业浪潮中,许多初创公司因各种原因走向失败,而鲜为人知的是,这些失败初创企业的员工正面临着通过旧的Google登录信息被窃取个人数据的特殊风险。
发现这一问题的研究人员是Andreessen Horowitz支持的初创公司Truffle Security的联合创始人兼首席执行官Dylan Ayrey。Ayrey因创建流行开源项目TruffleHog而闻名,该项目致力于监控数据泄露,防止坏人获取身份登录工具,如API密钥、密码和令牌,同时他也是漏洞搜寻领域的新星。
上周,在安全会议ShmooCon上,Ayrey谈到了自己发现的Google OAuth漏洞。OAuth是“使用Google登录”背后的技术,方便人们无需密码即可登录。Ayrey发现,若恶意黑客购买了失败初创公司已停用的域名,便能利用这些域名登录配置为允许公司每位员工访问的云软件,像公司聊天或视频应用程序。从这些应用程序的公司目录或用户信息页面,黑客可获取前员工的真实电子邮件。有了域名和电子邮件,黑客通过“使用Google登录”选项,能访问该初创公司的诸多云软件应用程序,进而获取更多员工电子邮件。
为验证这一漏洞,Ayrey购买了一家失败初创公司的域名,并借此登录了ChatGPT、Slack、Notion、Zoom以及包含社会安全号码的人力资源系统。他指出,云端人力资源系统的数据“最易被利用,其中的社保号、银行信息等很可能成为攻击目标”。不过,员工创建的旧Gmail帐户、Google Docs或使用Google应用创建的数据不受威胁,Google也证实了这一点。
据Ayrey估计,基于他发现目前有116,000个失败的科技初创公司的网站域名可供出售,数万名前员工以及数百万个SaaS软件账户都面临风险。这是因为初创公司倾向于使用谷歌的应用程序和大量云软件运营业务,其员工也就更容易受到攻击。
可以预防但不完美
如果SaaS云提供商使用Google的OAuth配置,理论上可防止Ayrey所概述的风险。这一技术被称为“子标识符”,是每个Google帐户独有的一系列数字。即便员工有多个与工作Google帐户相关联的电子邮件地址,但该帐户应只有一个子标识符。配置后,员工使用OAuth登录云软件帐户时,Google将发送电子邮件地址和子标识符识别此人。如此,即使恶意黑客重新创建控制域的电子邮件地址,也无法重新创建这些标识符。
然而,Ayrey与一家受影响的SaaS HR提供商合作后发现,这个标识符“不可靠”。据该HR提供商数据,只有0.04%的情况下,标识符会发生变化。虽从统计上看该数字近乎零,但对于一家每天处理大量用户的HR提供商来说,每周登录失败次数累计可达数百次,导致用户无法登录自己账户。这也是这家云提供商不想使用Google子标识符的原因。不过,谷歌对子标识符是否发生变化提出异议,因这一发现来自人力资源云提供商,未作为错误报告提交给谷歌,谷歌表示若有证据表明子标识符不可靠,将予以解决。
谷歌改变主意
谷歌对这一问题的态度摇摆不定。起初,谷歌完全不理会Ayrey提出的漏洞,迅速关闭该问题,称其不是漏洞,而是“欺诈”问题。事实上,这种风险确实源于黑客控制域名并滥用重新创建的电子邮件账户。但三个月后,就在Ayrey演讲被ShmooCon接受后,谷歌改变主意,重新开放相关问题,并向Ayrey支付了1,337美元的赏金。类似情况也曾发生在2021年,在网络安全会议Black Hat上,Ayrey发表关于其发现的演讲后,谷歌重新开放他的相关问题,还在年度安全研究员奖中授予Ayrey和他的漏洞发现搭档艾莉森·多诺万三等奖(以及73,331美元)。
目前,谷歌尚未发布针对该漏洞的技术修复程序,也未公布修复时间表,尚不清楚谷歌是否会做出技术改进解决问题。不过,谷歌已更新文档,告知云提供商使用子标识符,还向创始人提供公司应如何正确关闭Google Workspace并防止出现问题的说明。谷歌表示,最终解决办法是让创始人关闭公司时,确保妥善关闭所有云服务。
Ayrey本人也是一名创始人,他理解许多创始人可能未确保云服务被禁用。毕竟关闭一家公司是个复杂且痛苦的过程,涉及处理员工电脑、关闭银行账户、纳税等诸多事项,创始人在此时可能无暇顾及所有需要考虑的事情。
