روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ پیشتر درباره‌ی نحوه استفاده از گزینه‌ی «ورود با گوگل» برای خدمات شرکتی گفتیم. این گزینه به کارمندان اجازه می‌دهد تا حساب‌های Google فانتومی ایجاد کنند که توسط سرپرست Google Workspace شرکت کنترل نمی‌شود و پس از خارج شدن از سیستم به کار خود ادامه دهند. اخیراً مشخص شد که این تنها مشکل OAuth نیست. با توجه به نقاط ضعف در این مکانیسم احراز هویت، هر کسی می‌تواند با ثبت مجدد دامنه‌هایی که رها کرده‌اند، به داده‌های بسیاری از سازمان‌های منحل‌شده دسترسی پیدا کند. همچنین در مقاله‌ای دیگر توضیح داده بودیم چرا نباید از Google Oauth در اپ‌های کاری استفاده کنیم. اما در این مقاله مشخصاً حمله به Google OAuth را با استفاده از دامنه‌های رهاشده مورد بررسی قرار داده‌ایم.

نحوه‌ی عملکرد احراز هویت با گزینه‌ی «ورود با گوگل»
برخی از سازمان‌ها ممکن است بر این باور باشند که گزینه‌ی ورود با گوگل مکانیزم احراز هویت قابل اعتمادی را ارائه می‌کند که توسط فناوری پیشرفته Google و قابلیت‌های نظارت گسترده کاربر پشتیبانی می‌شود. با این حال، در واقعیت، بررسی احراز هویت Google OAuth کاملاً اساسی است. معمولاً به تأیید دسترسی کاربر به آدرس ایمیل مرتبط با Google Workspace مربوط می‌شود. علاوه بر این، Google OAuth لزوماً یک آدرس Gmail نیست - حساب‌های Google را می‌توان به هر آدرس ایمیلی مرتبط کرد. بنابراین، امنیت دسترسی به یک سرویس شرکتی از طریق گزینه‌ی ورود با گوگل تنها به اندازه امنیت ایمیل لینک‌شده به حساب گوگل است.

حال بگذارید وارد جزئیات شویم…

گوگل توصیه می‌کند که سرویس‌ها از پارامتر فرعی استفاده کنند و ادعا می‌کنند که این شناسه برای حساب کاربری منحصر به فرد و ثابت است — برخلاف آدرس ایمیل. اما در واقعیت، پارامتر فرعی همیشه ثابت نیست. برای تعداد کمی از کاربران، با گذشت زمان تغییر می کند، که می تواند باعث خرابی احراز هویت شود. در نتیجه، سرویس‌ها معمولاً از آن استفاده نمی‌کنند، و در عوض فقط دامنه و آدرس ایمیل را تأیید می‌کنند - برخلاف توصیه‌های گوگل.
ورود با گوگل با استفاده از دامنه‌ی رهاشده
بنابراین، یک مهاجم می‌تواند دسترسی غیرمجاز به خدمات یک شرکت را به سادگی با دسترسی به یک ایمیل در دامنه آن شرکت به دست آورد. اگر شرکت فعالیت خود را متوقف کرده و دامنه خود را رها کرده باشد، انجام این کار بسیار آسان است: هر کسی می‌تواند آن را برای خود ثبت کند. سپس مهاجم می‌تواند هر آدرس ایمیلی را در این دامنه ایجاد و از آن برای ورود به یکی از سرویس‌هایی که شرکت احتمالاً به کار می‌گیرد استفاده کند. برخی از این سرویس‌ها ممکن است فهرستی از کاربران واقعی مرتبط با فضای کاری سازمان را نمایش دهند - حتی اگر آدرس وارد شده توسط مهاجم هرگز واقعاً استفاده نشده باشد. با این فهرست - و کنترل کامل بر تمام آدرس‌های ایمیل در دامنه رها شده - مهاجم می‌تواند فضای اصلی Google Workspace شرکت منحل‌شده را بازسازی کند. به این ترتیب، مهاجمین می‌توانند به نمایه‌های کارمندان سابق در سرویس‌هایی که از Google OAuth برای احراز هویت استفاده می‌کردند، دسترسی پیدا کنند.

این مشکل، چقدر جدی است؟
دیلان آیری، محققی که این آسیب‌پذیری را در Google OAuth (و مشکل قبلی‌ای که در اکانت‌های فانتوم بود) را کشف کرد و قصدش این بود که شدت عواقب احتمالی را نشان دهد. آیری با استفاده از داده‌های Crunchbase، فهرستی از بیش از 100000 استارت‌آپ پایان‌یافته که دامنه‌های آن‌ها اکنون برای فروش است، جمع‌آوری کرد. آیری یکی از این دامنه های متروکه را خریداری و امکان سنجی حمله را آزمایش کرد. از جمله سرویس‌های شرکتی که او با استفاده از این آسیب‌پذیری توانست به آن دسترسی داشته باشد، سیستم‌های Slack، Zoom، Notion، ChatGPT و HR بودند. بنابراین، با این حمله نسبتاً ساده که نیاز به حداقل منابع دارد، مهاجم می‌تواند به انبوهی از اطلاعات محرمانه، از مکاتبات کارمندان و یادداشت‌ها گرفته تا داده‌های شخصی سیستم‌های منابع انسانی دسترسی پیدا کند. طبق تخمین‌های آیری، حدود 50 درصد استارت‌آپ‌ها از Google Workspace استفاده می‌کنند. اگر فرض کنیم که استارت آپ منحل‌شده متوسط حدود 10 کارمند داشته باشد، می‌توانیم در مورد صدها هزار نفر و میلیون ها حساب آسیب پذیر صحبت کنیم.
چه کسی مسئول است و چه کاری می‌توان انجام داد؟
آیری از طریق برنامه باگ بونتی خود، گوگل را از این آسیب‌پذیری آگاه کرد. او همچنین یک راه حل بلند مدت پیشنهاد کرد: ایجاد شناسه های واقعاً دائمی و منحصر به فرد برای حساب های Google و Google Workspace. با این حال، گزارش او در ابتدا رد شد، با اظهار نظر "بدون نیاز به تعمیر" و برچسب "تقلب یا سوء استفاده"! با این حال، چند ماه پس از ارائه یافته‌های آیری در یک کنفرانس هکرها (!) گزارش بازگشایی شد و مبلغ 1337 دلار به او تعلق گرفت. قابل ذکر است که او همان حداقل پاداش را برای کشف قبلی آسیب‌پذیری حساب‌های گوگل فانتوم دریافت کرد.
به گفته Ayrey، گوگل قول داده است که این آسیب‌پذیری را در Google OAuth برطرف کند، اما مشخص نکرده است که دقیقاً چه زمانی و چگونه قصد انجام این کار را دارند. بنابراین، مشکل مکانیسم ورود با گوگل یک مسئله حل نشده باقی مانده است که هیچ کس حاضر نیست مسئولیت آن را بپذیرد. قربانیان بالقوه این حمله شامل کارمندان سابق شرکت‌های منحل‌شده هستند که دیگر کنترلی بر حساب‌های خود ندارند. بدتر از آن، دیگر کسی نیست که برای امنیت این حساب‌ها پاسخگو باشد.
حرکت عاقلانه در اینجا این است که شرکت ها اقدامات پیشگیرانه را از قبل انجام دهند. با این حال، تعداد بسیار کمی از استارت‌آپ‌ها به طور جدی برای نابودی خود برنامه‌ریزی می‌کنند - چه رسد به اینکه بعد از آن چه اتفاقی خواهد افتاد. خوشبختانه، دفاع در برابر این آسیب‌پذیری Google OAuth نسبتاً ساده است. دو گزینه غیر انحصاری متقابل وجود دارد:

• به جای گزینه‌ی ورود با گوگل از ترکیب سنتی ورود و گذرواژه استفاده نموده و همیشه احراز هویت دو مرحله‌ای را فعال کنید.
• اگر شرکت شما فعالیت خود را متوقف کرد، فضاهای کاری در خدمات شرکتی را رها نکنید. در عوض آنها را حذف کنید. انجام این کار بسیار آسان است. برای مثال، در اینجا دستورالعمل Slack و Notion آمده است.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.