¡Aviso! Brecha de Seguridad Épica en Google Workspace
🚨 100% de las pruebas realizadas resultaron exitosas en el acceso a cuentas. Esta alarmante cifra, obtenida por Dylan Ayrey de Truffle Security Co., revela una brecha de seguridad de proporciones épicas en los procedimientos de cierre de dominios de Google Workspace.
La investigación de Ayrey demuestra que la adquisición de dominios inactivos de startups puede abrir las puertas a cuentas de empleados anteriores, comprometiendo datos sensibles. Este problema, que podríamos calificar como un «bug» de seguridad de alto impacto, afecta a miles de startups que confían en Google Workspace.
El Problema: Un «Bug» de Alto Impacto
Con una alta tasa de fracaso empresarial (90%) y un 50% de startups utilizando Google Workspace (según datos de Ayrey), la cantidad de dominios vulnerables en el mercado es enorme. La adquisición de estos dominios permite la reactivación de cuentas, otorgando acceso a servicios como Slack, ChatGPT, Zoom y sistemas de recursos humanos.
Detalles de la Vulnerabilidad
La clave del problema: el cierre incorrecto de cuentas de Google Workspace no elimina las cuentas de usuario; permanecen activas hasta que se elimina la cuenta de Google de la organización. Esta omisión, combinada con el uso común de Google OAuth, crea una autopista para accesos no autorizados. ¡Piénsalo: la puerta trasera de tu empresa abierta de par en par!
Los Hallazgos de Ayrey
Ayrey compró un dominio inactivo y obtuvo acceso a documentos fiscales, detalles de entrevistas laborales y mensajes directos. Aunque sus métodos no accedieron a datos almacenados directamente en las cuentas de Google, sí lograron acceder a información sensible en plataformas de terceros. Un descuido que podría costar caro a cualquier startup.
La Respuesta de Google
La reacción inicial de Google fue calificada como «Won’t Fix (Comportamiento Intencional),» según capturas de pantalla proporcionadas por Ayrey. Sin embargo, tras la presentación de Ayrey en la conferencia ShmooCon y la posterior viralización del tema, Google ofreció una recompensa de $1,337 y reconoció la vulnerabilidad, aunque minimizando la probabilidad de explotación. Una portavoz de Google declaró: «Agradecemos la ayuda de Dylan Ayrey en la identificación de los riesgos derivados de que los clientes olviden eliminar los servicios SaaS de terceros al cerrar sus operaciones.»
El Papel del Identificador «sub»
Google defiende el identificador «sub» como un elemento inmutable.Sin embargo, ayrey argumenta que este identificador no es consistentemente aplicado por servicios de terceros. su investigación indica que el «sub» varía en aproximadamente un 0.04% de los inicios de sesión, representando un número significativo de cuentas vulnerables. Ayrey logró acceder a cuentas en el 100% de las pruebas realizadas.
Implicaciones y Soluciones
Esta vulnerabilidad deja a startups y empresas a merced de graves riesgos de fuga de datos. Ayrey propone la inclusión de dos nuevos identificadores inmutables en los reclamos de OpenID Connect. Hasta el 14 de enero, Google no había respondido a sus sugerencias de solución.
Conclusión
La investigación de Ayrey muestra una vulnerabilidad en Google Workspace digna de una película de hackers. La falta de medidas de seguridad proactivas por parte de Google, combinada con prácticas de cierre de cuentas deficientes, crea una puerta de entrada para accesos no autorizados a datos sensibles. ¡Es una bomba de tiempo! Es crucial que las empresas adopten mejores prácticas y que Google implemente medidas adicionales para fortalecer la seguridad del sistema.
¡Sigue Tendencias Digitales para estar al día con lo último en tecnología y tendencias digitales!
