当你的工作在一家失败的初创公司中不保时,情况已经够糟糕了。然而,现在安全研究员发现,失败初创公司的员工特别容易成为数据泄露的目标。这不仅包括他们私人的Slack消息,还可能涉及社会安全号码和银行账户。
发现这一问题的安全研究员是Dylan Ayrey,他是Andreessen Horowitz支持的Truffle Security公司的联合创始人兼CEO。Ayrey最为人所知的是他创建了TruffleHog这个广受欢迎的开源项目,它能帮助监控数据泄露情况,尤其是当黑客获得了身份登录工具(如API密钥、密码和令牌)时。
Ayrey在漏洞猎捕领域也是一位新星。上周,在ShmooCon安全会议上,他报告了一个与Google OAuth相关的漏洞问题,这是“使用Google登录”的技术背后的技术。人们可以使用它代替密码。
Ayrey在向Google和其他可能受影响的公司报告了这一漏洞后,在会议上分享了漏洞细节,因为Google允许其漏洞猎手分享他们的发现。他发现,如果恶意黑客购买了失败初创公司的域名,他们可以利用这些域名登录到配置为允许公司每位员工访问的云软件中,例如公司聊天或视频应用程序。从这些应用程序中,黑客可以找到前员工的实际电子邮件地址。
有了这些域名和电子邮件地址,黑客可以使用“使用Google登录”的选项访问该初创公司的许多云软件应用程序,并找到更多员工的电子邮件地址。
Ayrey购买了一个失败初创公司的域名,并成功登录到了ChatGPT、Slack、Notion、Zoom以及一个包含社会安全号码的人力资源系统中。
Ayrey表示,“这是最大的威胁之一”,因为云人力资源系统的数据最容易被利用变现,并且人力资源系统中的社会安全号码和银行信息等很可能成为攻击目标。他还指出,旧的Gmail账户或员工创建的Google文档等数据并不在风险范围内。
任何拥有可售域名的失败公司都可能受到影响,但初创公司的员工特别容易受害。因为初创公司通常使用Google的应用程序和大量云软件来运营业务。
Ayrey估计有数万名前员工和数百万个SaaS软件账户处于风险之中。这基于他的研究发现:目前有116,000个来自失败科技初创公司的网站域名可供出售。
预防措施存在但不完美
实际上Google在其OAuth配置中确实有技术可以防止Ayrey提到的风险问题,前提是SaaS云提供商使用了这些技术。这被称为“子标识符”,即每个Google账户独有的数字序列。虽然员工可能有多个与工作Google账户关联的电子邮件地址,但该账户应该只有一个子标识符。
如果配置正确,在员工使用OAuth登录到云软件账户时,Google会发送电子邮件地址和子标识符来识别此人。因此,即使恶意黑客控制了域名并重新创建了电子邮件地址,他们也无法重新创建这些标识符。
然而Ayrey与一个受影响的SaaS人力资源提供商合作时发现,“子标识符”并不总是可靠的。人力资源提供商发现它在很小一部分情况下会发生变化:0.04%的比例可能在统计上接近零值,但对于每天处理大量用户的提供商来说,则意味着每周会有数百次登录失败的情况发生,并将用户锁定在其账户之外。这就是为什么这家云提供商不愿意使用Google的子标识符的原因之一。
Google否认子标识符会变化的说法。由于这一发现来自人力资源云提供商而非研究人员,在提交给Google作为漏洞报告的一部分之前并未得到证实。如果谷歌在未来看到证据表明子标识符不可靠的话,则会解决这个问题。
谷歌改变主意
但谷歌也改变了对这一问题重要性的看法。最初谷歌完全否定了Ayrey的问题,并迅速关闭了相关票务单,并称这不是一个漏洞而是欺诈问题。虽然谷歌部分正确——这一风险源自黑客控制域名并通过重新创建电子邮件账号来滥用它们——但Ayrey并不反对谷歌最初的决定,并将其视为一种数据隐私问题:尽管用户仍然可能会受到伤害,“这并不是黑白分明的问题”。
但在三个月后,在他的演讲被ShmooCon接受后不久,谷歌改变了主意重新开启了票务单,并向Ayrey支付了1,337美元的赏金作为奖励。类似的事情在他2021年的一次广受欢迎的安全会议上再次发生:当时谷歌重新开启了他在会议上报告其发现后的票务单。
谷歌尚未为该漏洞提供技术修复方案或修复时间表——也不清楚谷歌是否会做出任何技术上的改变来解决这个问题。
最终解决方案
最终解决方案是要求创始人确保关闭所有云服务以防止此类问题的发生。“我们感谢Dylan Ayrey帮助我们识别客户忘记删除第三方SaaS服务所带来的风险。”发言人表示。
