Η πλατφόρμα παραγωγικότητας που βασίζεται στο cloud της Google είχε μια αδυναμία ελέγχου ταυτότητας που επέτρεπε στους hackers να υποδύονται άλλες εταιρείες και να συνδέονται σε υπηρεσίες τρίτων. Όπως αναφέρει το KrebsOnSecurity, η ευπάθεια ανακαλύφθηκε στη διαδικασία επαλήθευσης του email κατά τη δημιουργία ενός λογαριασμού Google Workspace. Οι απατεώνες μπόρεσαν να παρακάμψουν την επαλήθευση και να συνδεθούν σε υπηρεσίες τρίτων που προσέφεραν την επιλογή «Sign in with Google» για έλεγχο ταυτότητας.
«Η τακτική εδώ ήταν η δημιουργία ενός ειδικά κατασκευασμένου αιτήματος από έναν κακόβουλο δράστη για την παράκαμψη της επαλήθευσης email κατά τη διαδικασία εγγραφής», δήλωσε στο Krebs ο Anu Yamunan, διευθυντής καταχρήσεων και προστασίας ασφάλειας στο Google Workspace. «Ο φορέας εδώ είναι ότι θα χρησιμοποιούσαν μια διεύθυνση email για να προσπαθήσουν να συνδεθούν και μια εντελώς διαφορετική διεύθυνση για να επαληθεύσουν ένα token. Μόλις επαληθεύονταν μέσω email, σε ορισμένες περιπτώσεις τους είδαμε να έχουν πρόσβαση σε υπηρεσίες τρίτων χρησιμοποιώντας το Google single sign-on».
Οι μηχανικοί της Google επιβεβαίωσαν επίσης ότι η ευπάθεια χρησιμοποιήθηκε καταχρηστικά τουλάχιστον τις τελευταίες δύο εβδομάδες:
Τις τελευταίες εβδομάδες, εντοπίσαμε μια μικρής κλίμακας εκστρατεία κατάχρησης, με την οποία κακόβουλοι παράγοντες παρέκαμψαν το βήμα επαλήθευσης email στη ροή δημιουργίας λογαριασμού μας για λογαριασμούς Email Verified (EV) Google Workspace χρησιμοποιώντας ένα ειδικά κατασκευασμένο αίτημα», δήλωσε η Google. «Αυτοί οι χρήστες μπορούσαν στη συνέχεια να χρησιμοποιηθούν για να αποκτήσουν πρόσβαση σε εφαρμογές τρίτων μερών χρησιμοποιώντας το Sign In with Google.
Η Google δήλωσε ότι διόρθωσε το πρόβλημα εντός 72 ωρών από την ανακάλυψή του και πρόσθεσε ένα επιπλέον επίπεδο προστασίας. Ανέφερε επίσης ότι η κατάχρηση αφορούσε «μερικές χιλιάδες» λογαριασμούς και ότι ξεκίνησε στα τέλη Ιουνίου.
Ωστόσο, τα σχόλια που άφησαν οι αναγνώστες τόσο στο TheHackerNews, όσο και στο KrebsOnSecurity, υποδηλώνουν ότι το πρόβλημα υπήρχε για πολύ μεγαλύτερο χρονικό διάστημα. Στην πραγματικότητα, κάποιοι δήλωσαν ότι έπεσαν θύματα της επίθεσης στις αρχές Ιουνίου 2024, κάτι που σημαίνει ότι οι χάκερς έκαναν κατάχρηση του ελαττώματος για τουλάχιστον δύο μήνες πριν αυτό αντιμετωπιστεί τελικά.
[via]
