Các nhà nghiên cứu tại Trufflesecurity đã phát hiện ra một lỗ hổng trong hoạt động của Google OAuth, phiên bản triển khai tiêu chuẩn OAuth mở của Google. Nó cho phép người dùng ủy quyền cho các ứng dụng của bên thứ ba truy cập an toàn vào dữ liệu của họ trên các dịch vụ của Google, chẳng hạn như Gmail, Google Drive, YouTube hoặc Google Docs.
Theo điều tra của các chuyên gia, có thể sử dụng chức năng "Đăng nhập bằng Google" của hệ thống OAuth để kiểm soát các tài khoản thuộc về các công ty phá sản. Lỗ hổng này chỉ ảnh hưởng đến các công ty khởi nghiệp đã đóng cửa.
Khi một công ty sử dụng OAuth, họ sẽ đăng ký một tên miền cho các ứng dụng của mình. Tên miền này đóng vai trò như một định danh. Tuy nhiên, nếu công ty đóng cửa sớm và từ bỏ tên miền của mình, một cá nhân có thể mua lại. Theo nhà nghiên cứu Dylan Ayrey giải thích, "Đăng nhập OAuth của Google không bảo vệ chống lại việc ai đó mua tên miền của một công ty khởi nghiệp thất bại và sử dụng nó để tạo lại tài khoản email cho các nhân viên cũ."
Thông tin xác thực OAuth thường được liên kết với tên miền, chứ không phải với một mã định danh không thể thay đổi. Nếu tên miền thay đổi quyền sở hữu, các hệ thống như Google OAuth không phải lúc nào cũng có cách để phát hiện sự thay đổi này. Trên thực tế, chủ sở hữu mới có thể sử dụng chức năng này để kết nối lại với các dịch vụ của bên thứ ba, chẳng hạn như Slack, Notion, Zoom hoặc thậm chí là ChatGPT. Đây chỉ là một vài ví dụ.
Điều này cho phép kẻ tấn công tiềm năng lấy cắp dữ liệu nhạy cảm từ các tài khoản. Các nhà nghiên cứu đã chỉ ra rằng có thể lấy được các tài liệu mật bằng cách kết nối với các nền tảng dành riêng cho nguồn nhân lực. Trong số các tập tin có thể rơi vào tay tin tặc có tài liệu thuế, thông tin bảo hiểm và số An sinh xã hội. Thông tin này có thể gây ra mối đe dọa nghiêm trọng cho những người liên quan. Với số An sinh xã hội, tin tặc có thể thực hiện hành vi đánh cắp danh tính.
Các nhà nghiên cứu chỉ ra rằng Google OAuth bao gồm một hệ thống yêu cầu phụ, được cho là hoạt động như một mã định danh duy nhất được chỉ định cho mỗi người dùng, bất kể tên miền hoặc địa chỉ email của họ có thay đổi như thế nào. Thật không may, cơ chế này có tỷ lệ không nhất quán là 0,04%. Rõ ràng, một số yêu cầu bồi thường không giữ nguyên theo thời gian. Theo những điều kiện này, các dịch vụ của bên thứ ba không thể chỉ dựa vào việc yêu cầu phụ để xác định người dùng. Sau đó, chúng dựa vào địa chỉ email và tên miền, mở đường cho rò rỉ dữ liệu.
Như nhà nghiên cứu đứng sau phát hiện này chỉ ra, lỗ hổng này đe dọa hàng triệu người. Trên thực tế, hiện nay có hơn 110.000 tên miền từng thuộc về các công ty phá sản. Bất kỳ ai làm việc cho các công ty này đều có thể bị tội phạm mạng đánh cắp dữ liệu cá nhân.
Không có gì ngạc nhiên khi Dylan Ayrey đã cảnh báo Google về lỗ hổng trong Google OAuth. Ban đầu, gã khổng lồ Mountain View đã từ chối vá lỗ hổng này, nói rằng đây là vấn đề liên quan đến gian lận và lạm dụng. Sau đó, Google đã thay đổi quyết định và đồng ý xem xét vấn đề. Tuy nhiên, lỗ hổng này vẫn còn tồn tại và có thể khai thác.
Để phản hồi lại các đồng nghiệp tại Bleeping Computer, nhóm cho biết họ muốn cảm ơn "Dylan Ayrey vì đã giúp xác định những rủi ro liên quan đến việc khách hàng quên xóa các dịch vụ của bên thứ ba khi ngừng hoạt động". Google khuyến nghị các doanh nghiệp gặp khó khăn "đóng tên miền của mình đúng cách" bằng cách thực hiện một loạt các biện pháp phòng ngừa, bao gồm xóa tất cả dữ liệu người dùng trong quá trình này.
Ngoài ra, Google khuyến khích "các ứng dụng của bên thứ ba tuân theo các biện pháp tốt nhất bằng cách sử dụng mã định danh tài khoản duy nhất". Đối với Dylan Ayrey, "nếu không có thông tin xác thực bất biến cho người dùng và không gian làm việc, việc thay đổi quyền sở hữu tên miền sẽ tiếp tục gây nguy hiểm cho tài khoản." Nguồn: Bleeping Computer
Theo điều tra của các chuyên gia, có thể sử dụng chức năng "Đăng nhập bằng Google" của hệ thống OAuth để kiểm soát các tài khoản thuộc về các công ty phá sản. Lỗ hổng này chỉ ảnh hưởng đến các công ty khởi nghiệp đã đóng cửa.
Lỗ hổng OAuth và hành vi đánh cắp dữ liệu
Khi một công ty sử dụng OAuth, họ sẽ đăng ký một tên miền cho các ứng dụng của mình. Tên miền này đóng vai trò như một định danh. Tuy nhiên, nếu công ty đóng cửa sớm và từ bỏ tên miền của mình, một cá nhân có thể mua lại. Theo nhà nghiên cứu Dylan Ayrey giải thích, "Đăng nhập OAuth của Google không bảo vệ chống lại việc ai đó mua tên miền của một công ty khởi nghiệp thất bại và sử dụng nó để tạo lại tài khoản email cho các nhân viên cũ."
Thông tin xác thực OAuth thường được liên kết với tên miền, chứ không phải với một mã định danh không thể thay đổi. Nếu tên miền thay đổi quyền sở hữu, các hệ thống như Google OAuth không phải lúc nào cũng có cách để phát hiện sự thay đổi này. Trên thực tế, chủ sở hữu mới có thể sử dụng chức năng này để kết nối lại với các dịch vụ của bên thứ ba, chẳng hạn như Slack, Notion, Zoom hoặc thậm chí là ChatGPT. Đây chỉ là một vài ví dụ.
Điều này cho phép kẻ tấn công tiềm năng lấy cắp dữ liệu nhạy cảm từ các tài khoản. Các nhà nghiên cứu đã chỉ ra rằng có thể lấy được các tài liệu mật bằng cách kết nối với các nền tảng dành riêng cho nguồn nhân lực. Trong số các tập tin có thể rơi vào tay tin tặc có tài liệu thuế, thông tin bảo hiểm và số An sinh xã hội. Thông tin này có thể gây ra mối đe dọa nghiêm trọng cho những người liên quan. Với số An sinh xã hội, tin tặc có thể thực hiện hành vi đánh cắp danh tính.
Các nhà nghiên cứu chỉ ra rằng Google OAuth bao gồm một hệ thống yêu cầu phụ, được cho là hoạt động như một mã định danh duy nhất được chỉ định cho mỗi người dùng, bất kể tên miền hoặc địa chỉ email của họ có thay đổi như thế nào. Thật không may, cơ chế này có tỷ lệ không nhất quán là 0,04%. Rõ ràng, một số yêu cầu bồi thường không giữ nguyên theo thời gian. Theo những điều kiện này, các dịch vụ của bên thứ ba không thể chỉ dựa vào việc yêu cầu phụ để xác định người dùng. Sau đó, chúng dựa vào địa chỉ email và tên miền, mở đường cho rò rỉ dữ liệu.
Hàng triệu cá nhân bị ảnh hưởng
Như nhà nghiên cứu đứng sau phát hiện này chỉ ra, lỗ hổng này đe dọa hàng triệu người. Trên thực tế, hiện nay có hơn 110.000 tên miền từng thuộc về các công ty phá sản. Bất kỳ ai làm việc cho các công ty này đều có thể bị tội phạm mạng đánh cắp dữ liệu cá nhân.
Không có gì ngạc nhiên khi Dylan Ayrey đã cảnh báo Google về lỗ hổng trong Google OAuth. Ban đầu, gã khổng lồ Mountain View đã từ chối vá lỗ hổng này, nói rằng đây là vấn đề liên quan đến gian lận và lạm dụng. Sau đó, Google đã thay đổi quyết định và đồng ý xem xét vấn đề. Tuy nhiên, lỗ hổng này vẫn còn tồn tại và có thể khai thác.
Để phản hồi lại các đồng nghiệp tại Bleeping Computer, nhóm cho biết họ muốn cảm ơn "Dylan Ayrey vì đã giúp xác định những rủi ro liên quan đến việc khách hàng quên xóa các dịch vụ của bên thứ ba khi ngừng hoạt động". Google khuyến nghị các doanh nghiệp gặp khó khăn "đóng tên miền của mình đúng cách" bằng cách thực hiện một loạt các biện pháp phòng ngừa, bao gồm xóa tất cả dữ liệu người dùng trong quá trình này.
Ngoài ra, Google khuyến khích "các ứng dụng của bên thứ ba tuân theo các biện pháp tốt nhất bằng cách sử dụng mã định danh tài khoản duy nhất". Đối với Dylan Ayrey, "nếu không có thông tin xác thực bất biến cho người dùng và không gian làm việc, việc thay đổi quyền sở hữu tên miền sẽ tiếp tục gây nguy hiểm cho tài khoản." Nguồn: Bleeping Computer
