کارمندان استارت آپ های شکست خورده در معرض خطر ویژه سرقت اطلاعات شخصی از طریق لاگین های قدیمی گوگل هستند

از آنجایی که گویی از دست دادن شغل خود در زمانی که استارت آپی که برای آن کار می کنید به اندازه کافی بد نیست، اکنون یک محقق امنیتی دریافته است که کارکنان استارتاپ های شکست خورده در معرض خطر ویژه دزدیده شدن داده هایشان هستند. این شامل پیام‌های خصوصی اسلک تا شماره‌های تامین اجتماعی و احتمالاً حساب‌های بانکی است.

محققی که این مشکل را کشف کرد، Dylan Ayrey، یکی از بنیانگذاران و مدیرعامل استارت آپ Truffle Security تحت حمایت Andreessen Horowitz است. Ayrey بیشتر به عنوان خالق پروژه منبع باز محبوب TruffleHog شناخته می شود، که به نشت داده ها در صورت دستیابی افراد شرور به ابزارهای ورود هویت (به عنوان مثال، کلیدهای API، گذرواژه ها و نشانه ها) کمک می کند.

آیری همچنین یک ستاره در حال ظهور در دنیای شکار حشرات است. هفته گذشته در کنفرانس امنیتی ShmooCon، او در مورد نقصی که در Google OAuth یافت، صحبت کرد، فناوری پشت “ورود به سیستم با Google”، که مردم می توانند به جای رمز عبور از آن استفاده کنند.

آیری پس از گزارش این آسیب‌پذیری به گوگل و سایر شرکت‌هایی که ممکن است تحت تأثیر قرار گیرند، سخنرانی خود را انجام داد و توانست جزئیات آن را به اشتراک بگذارد زیرا گوگل شکارچیان اشکالات خود را از صحبت در مورد یافته‌های خود منع نمی‌کند. (برای مثال، پروژه صفر گوگل که یک دهه قدمت دارد، اغلب ایراداتی را که در محصولات دیگر غول های فناوری مانند مایکروسافت ویندوز می یابد، به نمایش می گذارد.)

او کشف کرد که اگر هکرهای مخرب دامنه‌های از بین رفته یک استارت‌آپ ناموفق را بخرند، می‌توانند از آن‌ها برای ورود به نرم‌افزار ابری استفاده کنند که به گونه‌ای پیکربندی شده است که به هر کارمند شرکت اجازه دسترسی داشته باشد، مانند یک چت یا برنامه ویدیویی شرکت. از آنجا، بسیاری از این برنامه‌ها دایرکتوری‌های شرکت یا صفحات اطلاعات کاربر را ارائه می‌کنند که در آن هکر می‌تواند ایمیل‌های واقعی کارکنان سابق را کشف کند.

هکرها با استفاده از دامنه و آن ایمیل‌ها، می‌توانند از گزینه «ورود به سیستم با Google» برای دسترسی به بسیاری از برنامه‌های نرم‌افزار ابری راه‌اندازی استفاده کنند، که اغلب ایمیل‌های کارمندان بیشتری را پیدا می‌کنند.

آیری برای آزمایش نقصی که پیدا کرد، یک دامنه استارت‌آپ ناموفق خریداری کرد و از آن توانست به ChatGPT، Slack، Notion، Zoom و یک سیستم HR حاوی شماره‌های تامین اجتماعی وارد شود.

آیری به TechCrunch گفت: «این احتمالاً بزرگترین تهدید است، زیرا داده‌های سیستم منابع انسانی ابری «ساده‌ترین راه برای کسب درآمد است، و اعداد تأمین اجتماعی و اطلاعات بانکی و هر چیز دیگری در سیستم‌های منابع انسانی احتمالاً محتمل است. ” هدف قرار گیرد. او گفت که حساب‌های قدیمی جی‌میل یا Google Docs ایجاد شده توسط کارمندان یا هر داده‌ای که با برنامه‌های Google ایجاد شده است، در خطر نیست و گوگل تأیید کرد.

در حالی که هر شرکت شکست خورده ای که دامنه ای برای فروش دارد ممکن است طعمه آن شود، کارمندان استارت آپی به ویژه آسیب پذیر هستند زیرا استارت آپ ها تمایل دارند از برنامه های گوگل و بسیاری از نرم افزارهای ابری برای اجرای مشاغل خود استفاده کنند.

آیری محاسبه می کند که ده ها هزار کارمند سابق و همچنین میلیون ها حساب نرم افزاری SaaS در معرض خطر هستند. این بر اساس تحقیقات او است که 116000 دامنه وب سایت را در حال حاضر برای فروش از استارتاپ های شکست خورده فناوری در دسترس است.

پیشگیری در دسترس است اما کامل نیست

گوگل در واقع دارای فناوری در پیکربندی OAuth خود است که در صورت استفاده از ارائه دهنده ابری SaaS، باید از خطرات بیان شده توسط Ayrey جلوگیری کند. به آن «شناسه فرعی» می‌گویند، که مجموعه‌ای از اعداد منحصر به فرد برای هر حساب Google است. در حالی که یک کارمند ممکن است چندین آدرس ایمیل به حساب Google کاری خود وصل کرده باشد، اما حساب باید تنها یک شناسه فرعی داشته باشد.

در صورت پیکربندی، وقتی کارمند با استفاده از OAuth وارد یک حساب نرم افزاری ابری می شود، Google آدرس ایمیل و شناسه فرعی را برای شناسایی شخص ارسال می کند. بنابراین، حتی اگر هکرهای مخرب با کنترل دامنه، آدرس های ایمیل را دوباره ایجاد کنند، آنها نباید قادر به ایجاد مجدد این شناسه ها باشند.

اما Ayrey، در حال کار با یکی از ارائه‌دهنده‌های SaaS HR آسیب‌دیده، متوجه شد که این شناسه به قول او «غیرقابل اعتماد بود»، به این معنی که ارائه‌دهنده منابع انسانی دریافت که در درصد بسیار کمی از موارد تغییر می‌کند: 0.04%. این ممکن است از نظر آماری نزدیک به صفر باشد، اما برای یک ارائه‌دهنده منابع انسانی که تعداد زیادی کاربر روزانه را مدیریت می‌کند، هر هفته صدها لاگین ناموفق را جمع‌آوری می‌کند و افراد را از حساب‌هایشان قفل می‌کند. آیری گفت که به همین دلیل است که این ارائه دهنده ابر نمی خواهد از شناسه فرعی گوگل استفاده کند.

Google مخالفت می کند که شناسه فرعی هرگز تغییر می کند. از آنجایی که این یافته از سوی ارائه‌دهنده ابر منابع انسانی، نه محقق، به‌عنوان بخشی از گزارش اشکال به Google ارسال نشده است. گوگل می گوید که اگر شواهدی مبنی بر غیرقابل اعتماد بودن شناسه فرعی ببیند، شرکت به آن رسیدگی خواهد کرد.

گوگل نظرش را عوض می کند

اما گوگل همچنین در مورد اهمیت این موضوع صحبت کرد. در ابتدا، گوگل باگ Ayrey را به کلی رد کرد و بلافاصله بلیط را بست و گفت که این یک باگ نیست بلکه یک مشکل “تقلب” است. گوگل کاملا اشتباه نکرده است. این خطر ناشی از کنترل دامنه ها توسط هکرها و سوء استفاده از حساب های ایمیلی است که از طریق آنها دوباره ایجاد می کنند. آیری از تصمیم اولیه گوگل ناراضی نبود و این موضوع را یک مشکل حفظ حریم خصوصی داده ها خواند که در آن نرم افزار OAuth گوگل همانطور که در نظر گرفته شده بود کار می کرد، حتی اگر کاربران همچنان ممکن است آسیب ببینند. او گفت: «این به همان اندازه بریده و خشک نیست.

اما سه ماه بعد، درست پس از اینکه صحبت‌های او توسط ShmooCon پذیرفته شد، گوگل نظرش را تغییر داد، بلیت را دوباره باز کرد و 1337 دلار جایزه به آیری پرداخت. اتفاق مشابهی برای او در سال 2021 رخ داد، زمانی که گوگل پس از سخنرانی پرطرفدار درباره یافته‌هایش در کنفرانس امنیت سایبری بلک هت، بلیت او را بازگشایی کرد. گوگل حتی جایزه سوم را در پژوهشگر امنیت سالانه خود به آیری و شریک یافتن اشکالاتش آلیسون دونوان اعطا کرد. جوایز (به همراه 73331 دلار).

گوگل هنوز یک اصلاح فنی برای این نقص ارائه نکرده است، و نه جدول زمانی برای زمان ممکن – و مشخص نیست که آیا Google هرگز تغییر فنی برای رفع این مشکل ایجاد خواهد کرد یا خیر. با این حال این شرکت خود را به روز کرده است مستندات تا به ارائه دهندگان ابری بگوییم که از شناسه فرعی استفاده کنند. گوگل نیز ارائه می دهد دستورالعمل ها به بنیانگذاران در مورد اینکه چگونه شرکت ها باید به درستی Google Workspace را تعطیل کنند و از بروز مشکل جلوگیری کنند.

در نهایت، گوگل می‌گوید، راه حل این است که بنیان‌گذاران شرکتی را تعطیل می‌کنند تا مطمئن شوند که همه سرویس‌های ابری خود را به درستی می‌بندند. سخنگو گفت: «ما از کمک دیلن آیری در شناسایی خطرات ناشی از فراموشی مشتریان برای حذف سرویس‌های SaaS شخص ثالث به عنوان بخشی از رد کردن عملکردشان قدردانی می‌کنیم.

آیری، که خود بنیانگذار است، می‌داند که چرا بسیاری از بنیانگذاران ممکن است از غیرفعال شدن سرویس‌های ابری خود اطمینان حاصل نکرده باشند. بستن یک شرکت در واقع یک فرآیند پیچیده است که در دورانی از نظر عاطفی دردناک انجام می شود – شامل موارد زیادی، از دور انداختن رایانه های کارکنان، بستن حساب های بانکی و پرداخت مالیات.

آیری می‌گوید: «وقتی بنیان‌گذار باید با تعطیل کردن شرکت دست و پنجه نرم کند، احتمالاً در موقعیت خوبی نیستند که بتوانند درباره همه چیزهایی که باید به آنها فکر کنند فکر کنند.