Если потеря работы, когда стартап, для которого вы работаете, обанкротится, не является достаточно плохим, то сейчас исследователь по безопасности обнаружил, что сотрудники неудавшихся стартапов находятся под особым риском кражи своих данных. Это включает в себя их личные сообщения в Slack, номера социального страхования и, возможно, банковские счета.
Исследователем, который обнаружил эту проблему, является Дилан Эйри, сооснователь и генеральный директор стартапа Truffle Security, получившего инвестиции от Andreessen Horowitz. Эйри известен как создатель популярного проекта с открытым исходным кодом TruffleHog, который помогает отслеживать утечки данных в случае, если злоумышленники получили инструменты для входа в систему (например, ключи API, пароли и токены).
Эйри также является звездой в мире охотников за ошибками. На прошлой неделе на конференции по безопасности ShmooCon он выступил с докладом о дефекте, который он обнаружил с Google OAuth, технологией, лежащей в основе "Войти с помощью Google", которую люди могут использовать вместо паролей.
Он сделал свой доклад после того, как сообщил о уязвимости Google и другим компаниям, которые могли бы быть затронуты, и смог поделиться деталями, потому что Google не запрещает своим охотникам за ошибками говорить о своих находках. (Проект Zero, созданный Google десять лет назад, часто демонстрирует дефекты, которые обнаруживает в продуктах других гигантов технологической отрасли, как, например, Microsoft Windows).
Он обнаружил, что если злоумышленники купят дефолтные домены неудавшихся стартапов, они смогут использовать их для входа в облачное программное обеспечение, настроенное на предоставление доступа каждому сотруднику компании, например, чата или видеоаппа. Оттуда многие из этих приложений предлагают каталоги компании или страницы с информацией о пользователях, где злоумышленник мог бы найти реальные электронные адреса бывших сотрудников.
Владея доменом и этими адресами электронной почты, злоумышленники могут использовать опцию "Войти с помощью Google" для доступа к многим облачным приложениям стартапа, часто находя больше электронных адресов сотрудников.
Для проверки обнаруженного им дефекта, Эйри купил домен одного неудавшегося стартапа и смог войти в ChatGPT, Slack, Notion, Zoom и систему управления персоналом, содержащую номера социального страхования.
"Это, вероятно, самая большая угроза", - сказал Эйри TechCrunch, так как данными из облачной системы управления персоналом "самые легко монетизировываемые, и номера социального страхования, информация о банковских счетах и все, что еще есть в системах управления персоналом, вероятно, довольно часто" подвергнуты атаке. Он сказал, что старые учетные записи Gmail или Google Docs, созданные сотрудниками, или любые данные, созданные с помощью приложений Google, не находятся под угрозой, что подтверждает Google.
Хотя любой неудавшийся стартап, предлагающий домен, может стать жертвой, сотрудники стартапов становятся особенно уязвимыми, поскольку стартапы обычно используют приложения Google и большое количество облачного программного обеспечения для ведения своего бизнеса.
Эйри рассчитывает, что под угрозой находятся десятки тысяч бывших сотрудников, а также миллионы учетных записей программного обеспечения как услуги. Это основано на его исследовании, в ходе которого было обнаружено 116 000 веб-доменов, которые в настоящее время доступны для продажи от неудавшихся технологических стартапов.
Доступна профилактика, но не идеальная
Google фактически имеет технологию в своей конфигурации OAuth, которая должна предотвратить риски, описанные Эйри, если облачный поставщик программного обеспечения в области SaaS ее использует. Это так называемый "под-идентификатор", который представляет собой серию чисел, уникальную для каждой учетной записи Google. Хотя у сотрудника может быть несколько адресов электронной почты, привязанных к его рабочей учетной записи Google, учетная запись должна иметь всего один под-идентификатор.
Если настроено правильно, когда сотрудник пытается войти в учетную запись облачного программного обеспечения с помощью OAuth, Google отправит как адрес электронной почты, так и под-идентификатор, чтобы идентифицировать человека. Таким образом, даже если злоумышленники воссоздадут электронные адреса с контролем домена, они не должны смочь воссоздать эти идентификаторы.
Но Эйри, работая с одним из пострадавших поставщиков облачных HR-услуг, обнаружил, что этот идентификатор "был ненадежен", как он сказал, означая, что поставщик HR обнаружил, что он менялся в очень малом проценте случаев: 0,04%. Это может быть статистически близко к нулю, но для поставщика HR, обрабатывающего огромное количество ежедневных пользователей, это накапливается в сотни неудачных попыток входа в систему еженедельно, блокируя людей в их учетных записях. Поэтому этот облачный поставщик не хотел использовать под-идентификатор Google, сказал Эйри.
Google отрицает, что под-идентификатор когда-либо меняется. Поскольку это находка была сделана в поставщике облачных HR-услуг, а не в исследовательской работе, ее не отправляли в Google в рамках доклада об ошибке. Google говорит, что если они когда-либо увидят подтверждение того, что под-идентификатор ненадежен, компания займется этим.
Google меняет мнение
Но Google также колеблется в том, насколько важен вообще этот вопрос. Сначала Google отклонил баг-репорт Эйри, promptly closing the ticket and saying it wasn’t a bug but a “fraud” issue. Google wasn’t completely wrong. This risk comes from hackers controlling domains and misusing email accounts they re-create through them. Ayrey didn’t begrudge Google’s initial decision, calling this a data privacy issue where Google’s OAuth software worked as intended even though users still could be hurt. “That’s not as cut and dry,” he said.
Но три месяца позже, сразу после того, как его доклад был принят на ShmooCon, Google передумал, снова открыл заявку и выплатил Айрей баунти в размере 1 337 долларов. Подобное случалось с ним и в 2021 году, когда Google снова открыл его заявку после того, как он прочитал популярный доклад о своих находках на кибербезопасностном конференции Black Hat. Google даже наградил Эйри и его партнера по поиску ошибок вторым местом на ежегодной церемонии награждения исследователей в области безопасности (вместе с 73 331 долларом).
Google еще не выпустил технический патч для этого дефекта, ни установил сроки, когда это может произойти, и не ясно, выполнит ли Google когда-либо техническое изменение, чтобы как-то решить эту проблему. Однако компания обновила свою документацию, чтобы сообщить облачным поставщикам использовать под-идентификатор. Компания Google также предлагает инструкции основателям о том, как правильно закрыть Google Workspace и предотвратить эту проблему.
В конечном итоге, по словам Google, решение заключается в том, чтобы основатели, закрывающие компанию, гарантировали правильное закрытие всех своих облачных услуг. "Мы благодарим Дилана Эйри за помощь в идентификации рисков, связанных с тем, что клиенты забывают удалять сторонние SaaS-сервисы в процессе прекращения своей деятельности", - сказал представитель.
Сам Эйри, будучи основателем самого, понимает почему многие основатели могли не убедиться в том, что их облачные сервисы были отключены. Закрытие компании - это на самом деле сложный процесс, который выполняется в эмоционально болезненное время и включает в себя множество пунктов, от утилизации компьютеров сотрудников до закрытия банковских счетов и уплаты налогов.
