Foi encontrado uma nova vulnerabilidade no sistema de autenticação “Entrar com o Google”. A brecha que foi encontrada na segunda-feira (13) reside em domínios de empresas falidas e permite que criminosos acessem informações sensíveis.
A falha está contida no sistema de autenticação Google OAuth, segundo o cofundador e CEO da Truffle Security, Dylan Ayrey. Basicamente, criminosos podem comprar domínios de startups falidas e utilizá-los para recriar endereços de email de ex-funcionários.
- Veja também: Google descobre brecha em celulares Samsung
Os dados antigos não podem ser recuperados, ressaltou o pesquisador. Porém, essas contas reativadas podem ser utilizadas para acessar os produtos SaaS (Software as a Service, ou “Software como serviço”, em português) utilizados pela antiga empresa.
GettyImages As contas ressuscitadas servem como chave de acesso a serviços anteriormente utilizados pela empresa. (Fonte: GettyImages)
O problema está principalmente no acesso aos sistemas de Recursos Humanos desabilitados, em que estão contidos documentos dos ex-funcionários — pagamento de impostos, recibos, informação de seguros, Social Security Numbers (SSN, similar ao CPF brasileiro) e mais.
Serviços associados à empresa, como ChatGPT, Slack, Notion, Zoom e outros também podem ser acessados com os e-mails ressuscitados.
Google reconheceu o problema
De primeira, o Google respondeu que a descoberta era o comportamento esperado da ferramenta. Contudo, em meados de dezembro, a empresa reabriu a denúncia de vulnerabilidade e recompensou o pesquisador em US$ 1.337 (R$ 8.040, segundo a conversão da Wise).
O problema foi classificado como um “metodologia relacionada a abuso de alto impacto”.
Como alternativa, o Google recomenda que administradores de contas corporativas reforcem a adoção de boas práticas de segurança e apaguem quaisquer dados de usuários ao apagar perfis.
Google não vai corrigir o problema
Em contato com o The Hacker News, o Google reforça que o problema não requer uma correção, pois já há “proteção apropriada” ativa.
Uma recente revisão da documentação do Google recomenda que administradores não devem usar o campo de e-mail no token de identificação como identificador único de um usuário. Como alternativa, eles devem utilizar o campo sub.
