ورود به یک وبسایت با استفاده از گزینه «ورود با گوگل» واقعاً راحت است، به طوری که ممکن است آن را صدها بار استفاده کرده باشید. با این حال، پژوهشگران دریافتند که استفاده از این ویژگی به عنوان کارمند یک کسبوکار میتواند شما را در معرض نقضهای احتمالی حریم خصوصی قرار دهد و بدترین نکته این است که هنوز راهحلی برای آن وجود ندارد.
ورود به یک وبسایت با استفاده از گزینه «ورود با گوگل» واقعاً راحت است، تا حدی که ممکن است قبلاً صدها بار از آن استفاده کرده باشید. با این حال، پژوهشگران دریافتهاند که استفاده از این ویژگی به عنوان کارمند یک شرکت شما را در معرض نقضهای حریمخصوصی قرار میدهد و بدترین نکته این است که هنوز راهحلی برای آن وجود ندارد.
ویژگی «ورود با گوگل» آثار کاربران قبلی دامنه را باقی میگذارد
همانطور که توسط Trufflesecurity گزارش شده است، کاستیای در سیستم OAuth گوگل کشف شده است. این مشکل هر کسی را تحت تأثیر قرار میدهد که در شرکتی کار کرده که به کارکنان خود اجازه استفاده از ورود «با گوگل» را میدهد و سپس آن شرکت بسته شده است.
مشکل به این صورت است: وقتی شما کارمند یک شرکت هستید و از ویژگی «ورود با گوگل» برای ورود به برنامهای مانند Slack با حساب کاری خود استفاده میکنید، برنامه دو قطعه داده دریافت میکند: دامنه و آدرس ایمیل. اگر برنامه هر دو این دادهها را دریافت کند، اجازه ورود کاربر را میدهد.
قسمت «دامنه» نام دامنه کسبوکار است که به برنامه میگوید شما کارمند آن شرکت خاص هستید. اما اگر شرکت درهایش را بسته شود، یک فرد مخرب میتواند دامنهٔ استفادهنشده را خریداری کرده و مالکیت آن را بهدست آورد. اگر کسبوکار پیش از بسته شدن بهدرستی «پاکسازی» نکند، عامل مخرب میتواند آدرسهای ایمیل کارمندان را بازسازی کرده و از آنها برای ورود به سرویسهای شخص ثالث استفاده کند.
خوشبختانه، عامل مخرب نتوانست به حساب Gmail قدیمی شرکت دسترسی پیدا کند و ایمیلهای آن را بخواند، اما Trufflesecurity دریافت که میتواند به حسابهای کارمند سابق در ChatGPT، Slack، Notion، Zoom، سیستمهای HR و موارد دیگر دسترسی داشته باشد. و در حالی که همه این حسابها میتوانند بهتنهایی حاوی دادههای حساس باشند، سیستمهای HR خطرناکترین هستند، زیرا شامل اطلاعاتی مانند شمارههای تأمین اجتماعی و جزئیات بانکی میشوند.
متأسفانه، وقتی این آسیبپذیری برای اولین بار گزارش شد، گوگل تقصیر را به شرکتها نسبت داد که دادههای خود را بهدرستی پاک نکردهاند. اما پس از اینکه Trufflesecurity حمله را در Shmoocon (که میتوانید در ویدئوی بالا در زمان 5:34:00 ببینید) نشان داد، گوگل دوباره به آن پرداخته است.
در این میان، اگر هنگام کار در شرکتی که اکنون بسته شده است از «ورود با گوگل» استفاده کردهاید، دادههای شما ممکن است در معرض خطر باشند. جزئیات خود را زیر نظر داشته باشید و آماده باشید تا موارد را اصلاح کنید اگر نفوذ دادهای را مشاهده کردید. و حتی اگر هرگز در حین کار از این ویژگی ورود راحت استفاده نکردهاید، دلایل بسیاری وجود دارد که دیگر نباید «ورود با گوگل» را در هیچ وبسایتی به کار ببرید.