Seolah-olah kehilangan pekerjaan apabila startup tempat anda bekerja runtuh belum cukup buruk, sekarang seorang penyelidik keselamatan telah menemui bahawa pekerja di startup yang gagal berisiko khusus kehilangan data mereka dicuri. Ini merangkumi mesej Slack peribadi mereka sehingga nombor Sosial dan, mungkin, akaun bank.
Penyelidik yang menemui isu ini adalah Dylan Ayrey, pengasas bersama dan CEO Truffle Security dibiayai oleh Andreessen Horowitz. Ayrey terkenal sebagai pencipta projek sumber terbuka TruffleHog yang popular, yang membantu mengawasi kebocoran data jika penjahat memperoleh alat log masuk identiti (iaitu, kunci API, kata laluan, dan token).
Ayrey juga merupakan bintang muda dalam dunia pemburu bug. Minggu lepas di konferens keselamatan ShmooCon, beliau memberi ceramah tentang kelemahan yang ditemuinya dengan Google OAuth, teknologi di belakang "Log masuk dengan Google," yang boleh digunakan orang sebagai gantian kata laluan.
Ayrey memberikan ceramahnya selepas melaporkan kerentanan kepada Google dan syarikat lain yang mungkin terjejas dan dapat berkongsi butiran itu kerana Google tidak menghalang pemburu bugnya untuk bercakap tentang penemuan mereka. (Projek Zero Google yang berusia sepuluh tahun, misalnya, sering mempamerkan kelemahan yang ditemui dalam produk raksasa teknologi lain seperti Microsoft Windows.)
Beliau menemui bahawa jika penjahat jahat membeli domain mati sebuah startup yang gagal, mereka boleh menggunakannya untuk log masuk ke perisian awan yang disetuji untuk membolehkan setiap pekerja di syarikat mempunyai akses, seperti aplikasi sembang atau video syarikat. Dari situ, banyak aplikasi ini menawarkan direktori syarikat atau halaman info pengguna di mana penjenayah boleh mengetahui emel sebenar bekas pekerja.
Bersenjatakan domain dan emel-emel itu, penjenayah boleh menggunakan pilihan "Log masuk dengan Google" untuk mengakses banyak aplikasi perisian awan startup tersebut, seringkali menemui lebih banyak emel pekerja.
Untuk menguji kelemahan yang ditemuinya, Ayrey membeli domain satu startup yang gagal dan dari situ dapat log masuk ke ChatGPT, Slack, Notion, Zoom, dan sistem HR yang mengandungi nombor Social Security.
"Itu mungkin ancaman terbesar," kata Ayrey kepada TechCrunch, kerana data dari sistem HR awan adalah "yang paling mudah mereka dapat mengkomersialkannya, dan nombor Social Security dan maklumat perbankan dan apapun yang ada dalam sistem HR mungkin agak mudah" menjadi sasaran. Katanya akaun Gmail lama atau dokumen Google dicipta oleh pekerja, atau sebarang data dicipta dengan aplikasi Google, tidak berisiko, dan Google mengesahkan.
Walaupun mana-mana syarikat yang gagal dengan domain untuk dijual boleh jatuh mangsa, pekerja startup adalah lebih rentan kerana startup cenderung menggunakan aplikasi Google dan banyak perisian awan untuk mengendalikan perniagaan mereka.
Ayrey mengira bahawa puluhan ribu bekas pekerja berisiko, serta berjuta akaun perisian SaaS. Ini berdasarkan penyelidikannya yang menemui 116,000 domain laman web yang kini tersedia untuk dijual daripada startup teknologi yang gagal.
Pencegahan tersedia tetapi tidak sempurna
Google sebenarnya memiliki teknologi di konfigurasi OAuth-nya yang sepatutnya mencegah risiko yang diterangkan oleh Ayrey, jika pembekal awan SaaS menggunakannya. Ia dipanggil "sub-penjelas", yang merupakan siri nombor unik untuk setiap akaun Google. Walaupun seorang pekerja mungkin mempunyai beberapa alamat emel yang dilampirkan dengan akaun Google pekerja mereka, akaun tersebut sepatutnya mempunyai hanya satu sub-penjelas, sepanjang masa.
Jika dikonfigurasi, apabila pekerja cuba log masuk ke akaun perisian awan menggunakan OAuth, Google akan menghantar kedua-dua alamat emel dan sub-penjelas untuk mengenal pasti orang tersebut. Oleh itu, walaupun penjenayah jahat mencipta semula alamat emel dengan kawalan domain, mereka sepatutnya tidak dapat mencipta semula penjelas ini.
Tetapi Ayrey, berkerja dengan satu pembekal HR SaaS yang terjejas, menemui bahawa penjelas ini "tidak boleh dipercayai," sebagaimana yang dinyatakannya, bermaksud pembekal HR mendapati bahawa ia berubah dalam peratusan yang sangat kecil kes. Itu mungkin hampir tiada secara statistik, tetapi bagi seorang pembekal HR yang mengendalikan jumlah pengguna harian yang besar, ia menambahkan ratusan log masuk gagal setiap minggu, mengunci individu dari akaun mereka. Itulah sebabnya pembekal awan ini tidak mahu menggunakan sub-penjelas Google, kata Ayrey.
Google menafikan bahawa penjelas ini berubah-ubah. Kerana temuan ini datang dari pembekal HR awan, bukan penyelidik, ia tidak dikemukakan kepada Google sebagai sebahagian daripada laporan bug. Google berkata jika mereka melihat bukti bahawa penjelas ini tidak boleh dipercayai, syarikat akan menanganinya.
Google mengubah fikiran
Tetapi Google juga bertukar fikiran tentang betapa pentingnya isu ini. Pada awalnya, Google menolak bug Ayrey sepenuhnya, dengan segera menutup tiket dan mengatakan ia bukan bug tetapi isu "penipuan". Google tidak sepenuhnya salah. Risiko ini datang dari penjenayah yang mengawal domain dan menyalahgunakan akaun emel yang mereka cipta semula. Ayrey tidak menghalang keputusan awal Google, menggambarkannya sebagai isu privasi data di mana perisian OAuth Google berfungsi sebagaimana yang dimaksudkan walaupun pengguna masih boleh tercedera. "Itu tidak begitu jelas," katanya.
Tetapi tiga bulan kemudian, tepat selepas ceramahnya diterima oleh ShmooCon, Google mengubah fikirannya, membuka semula tiket itu dan membayar Ayrey $1,337 wang pendapatan. Sesuatu yang serupa berlaku padanya pada tahun 2021 apabila Google membuka semula tiketnya selepas dia memberikan ceramah yang sangat popular tentang penemuannya di konferens siber Black Hat. Google malah menganugerahkan Ayrey dan rakan penemu bugnya, Allison Donovan, hadiah ketiga dalam anugerah penyelidik keselamatan tahunan syarikat tersebut (bersama dengan $73,331).
Google belum lagi mengeluarkan penyelesaian teknikal untuk kelemahan tersebut, atau jadual waktu untuk bilakah ia mungkin — dan tidak jelas sama ada Google akan membuat perubahan teknikal untuk mengatasi isu ini. Walau bagaimanapun, syarikat itu telah mengemas kini dokumentasinya untuk memberitahu pembekal awan menggunakan sub-penjelas. Google juga menawarkan arahan kepada pengasas tentang bagaimana syarikat harus menutup Google Workspace dengan betul dan mengelakkan masalah tersebut.
Pada akhirnya, kata Google, penyelesaian adalah bagi pengasas menutup syarikat mereka dengan betul. "Kami menghargai bantuan Dylan Ayrey mengenal pasti risiko yang timbul daripada pelanggan lupa untuk memadam perkhidmatan SaaS pihak ketiga sebagai sebahagian daripada menolak operasi mereka," kata jurucakap itu.
Ayrey, seorang pengasas sendiri, memahami mengapa ramai pengasas mungkin tidak memastikan perkhidmatan awan mereka dinonaktifkan. Menutup syarikat sebenarnya merupakan proses yang rumit dilakukan semasa apa yang mungkin menjadi masa yang penuh emosi — melibatkan banyak perkara, dari membuang komputer pekerja, menutup akaun bank, ke membayar cukai.
