Một lỗ hổng bảo mật nghiêm trọng trong hệ thống xác thực OAuth của Google vừa được phát hiện, có khả năng làm lộ dữ liệu nhạy cảm của hàng triệu cựu nhân viên từ các startup đã ngừng hoạt động. Phát hiện này gây ra những lo ngại nghiêm trọng về tác động bảo mật lâu dài của hệ thống xác thực kỹ thuật số và việc chuyển giao quyền sở hữu tên miền.
Lỗ hổng xác thực OAuth
Lỗ hổng bảo mật này, được các nhà nghiên cứu của Trufflesecurity phát hiện, tập trung vào luồng xác thực Đăng nhập bằng Google. Lỗ hổng cho phép bất kỳ ai mua lại tên miền của công ty đã ngừng hoạt động có thể truy cập vào tài khoản dịch vụ bên thứ ba của cựu nhân viên. Kẽ hở bảo mật này tồn tại do hệ thống OAuth của Google tiếp tục chấp nhận yêu cầu xác thực chỉ dựa trên tên miền email, ngay cả sau khi quyền sở hữu tên miền đã thay đổi.
Tác động và phạm vi
Phạm vi của lỗ hổng đặc biệt đáng lo ngại khi xét đến số lượng mục tiêu tiềm năng. Theo dữ liệu từ Crunchbase, có khoảng 116.481 tên miền từ các startup thất bại có thể bị khai thác. Các dịch vụ bị ảnh hưởng bao gồm các nền tảng được sử dụng rộng rãi như ChatGPT, Notion, Slack và Zoom. Nghiêm trọng hơn, lỗ hổng này cho phép truy cập vào các hệ thống nhân sự chứa thông tin cá nhân nhạy cảm bao gồm tài liệu thuế, số an sinh xã hội và chi tiết bảo hiểm.
-
Các Dịch vụ bị Ảnh hưởng:
- ChatGPT
- Notion
- Slack
- Zoom
- Các Hệ thống Quản lý Nhân sự
-
Mốc thời gian:
- Báo cáo Ban đầu: 30 tháng 9, 2024
- Phản hồi Ban đầu: 2 tháng 10, 2024 (Không Khắc phục)
- Công bố Công khai: Tháng 12, 2024
- Số tiền Thưởng: 1.337 USD
-
Quy mô Tác động Tiềm tàng:
- Số lượng Tên miền Startup không hoạt động: 116.481
Phản hồi và tiến trình của Google
Ban đầu được báo cáo cho Google vào ngày 30 tháng 9 năm 2024, vấn đề này đã bị đánh dấu là sẽ không sửa. Tuy nhiên, sau khi được công bố công khai tại hội nghị bảo mật Shmoocon vào tháng 12, Google đã mở lại vụ việc và trao thưởng 1.337 đô la Mỹ - một con số có ý nghĩa trong văn hóa hacker vì nó đánh vần từ elite trong leetspeak. Hiện tại công ty đang tích cực làm việc để triển khai bản vá, có thể sẽ tích hợp các định danh bất biến mới cho xác thực người dùng và workspace.
Chiến lược giảm thiểu rủi ro
Google đã khuyến nghị các công ty nên đóng tên miền đúng cách theo hướng dẫn cụ thể của họ để ngăn chặn những lỗ hổng như vậy. Ngoài ra, họ cũng khuyến khích các ứng dụng bên thứ ba thực hiện các biện pháp tốt nhất bằng cách sử dụng định danh tài khoản duy nhất. Đối với cá nhân và doanh nghiệp, việc xóa dữ liệu nhạy cảm khỏi tài khoản doanh nghiệp trong quá trình chuyển việc và tránh sử dụng thông tin đăng nhập công ty cho tài khoản cá nhân là rất quan trọng.
Ý nghĩa trong tương lai
Lỗ hổng bảo mật này làm nổi bật những thách thức rộng lớn hơn trong quản lý danh tính kỹ thuật số và nhu cầu về các hệ thống xác thực mạnh mẽ hơn có thể xử lý sự phức tạp của việc chuyển giao quyền sở hữu tên miền và giải thể công ty. Khi môi trường kỹ thuật số tiếp tục phát triển, những lỗ hổng như vậy nhấn mạnh tầm quan trọng của việc triển khai các biện pháp bảo mật tinh vi hơn trong hệ thống xác thực.