Google'ın OAuth erişimi, Google Workspace'i kullanan başarısız girişimlerin eski çalışanlarının kişisel verilerini açıkça tehlikeye atıyor. Siber güvenlik şirketi Truffle'ın kurucu ortağı Dylan Ayrey, bir blog yazısında bunu şöyle açıklıyor: Böyle bir şirketin alan adını satın alan herkes, Google'ın OAuth'unu kullanarak Google Workspaces'te yerleşik olarak bulunan Slack, ChatGPT gibi hizmetlerdeki eski çalışan hesaplarına erişebilir. Notion, Zoom veya HR platformları – şirketin ilgili sağlayıcılardan verileri silmeyi unutması durumunda. Özellikle İK platformları sıklıkla hassas veriler içerir. Görünüşe göre tek yapmanız gereken, eski bir çalışanın e-posta hesabını alan adında yeniden oluşturmak.
Duyuru
Google'ın OAuth girişi aracılığıyla platformlarda oturum açmak işe yarıyor çünkü Slack gibi söz konusu hizmet, giriş yapmaya çalıştığınızda giriş yapıp yapmayacağınıza karar vermek için belirli tanımlayıcılar kullanıyor.
Örneğin, “@gescheitertesStartup.de adresindeki tüm hesaplar, başarısız olan startup'ın Slack'ine erişebilir” kuralı geçerli olabilir. Slack'in erişimi onayladığı veya reddettiği tek kural buysa, yeni bir alan adı sahibi, eski çalışanın yeni oluşturulan e-posta adresini kullanarak çalışanın erişebildiği tüm Slack kanallarına kolayca erişebilir.
Önerilen çözüm: Benzersiz tanımlayıcılar
Blog gönderisine göre, Google'ın OAuth uygulamasının OpenID Connect özelliklerine iki benzersiz, değişmez tanımlayıcı eklemesi durumunda sorun çözülebilir: hiçbir zaman değişmeyen benzersiz bir kullanıcı kimliği ve alana bağlı benzersiz bir çalışma alanı kimliği.
Sorun, önerilen düzeltme de dahil olmak üzere Google'ın Güvenlik Açıklarını Açıklama programı aracılığıyla bildirildiğinde, Google başlangıçta sorunun artık çözülmeyeceğini söyleyerek yanıt verdi. Üç ay sonra, 19 Aralık 2024'te Google, bileti yeniden açtı ve yazara bir hata ödülü ödedi. Ancak şu anda bir düzeltme hala beklemede.
Blog yazısına göre ne platform sağlayıcıları ne de başarısız bir şirketin eski çalışanları böyle bir durumda verilerini koruyacak herhangi bir araca sahip değil. Bir Google sözcüsü, Haberler Online'a gönderdiği bir e-postada, Ayrey'in, müşterilerin operasyonlarını kapattıklarında üçüncü taraf SaaS hizmetlerini silmeyi unutmaları durumunda ortaya çıkan riskleri vurgulamasından memnun olduklarını yazdı. Müşterilerin, öneriler doğrultusunda işlemlerin tamamlanmasının ardından alan adlarını kapatmaları tavsiye edilir. Ayrıca üçüncü taraf satıcıların riski en aza indirmek için alt tanımlayıcıyı kullanmaları önerilir.
Güncelleme
10.37am
Saat
Konum adı Google tarafından eklendi ve hata kaynağı eklendi
(kst)
Bir yanıt yazın