【安全资讯】谷歌OAuth漏洞允许攻击者访问被遗弃账户

概要：

谷歌的OAuth“使用谷歌登录”功能存在安全漏洞，攻击者可以通过注册已关闭初创公司的域名，访问与多个软件即服务（SaaS）平台相关的前员工账户的敏感数据。这一漏洞由Trufflesecurity的研究人员发现，并于去年9月30日报告给谷歌。尽管谷歌最初将其视为“欺诈和滥用”问题，但在研究人员的进一步展示后，谷歌重新审视了这一问题。

主要内容：

该漏洞使得攻击者能够通过购买已关闭公司的域名，重新创建前员工的电子邮件账户，从而访问与Slack、Notion、Zoom等服务相关的账户。虽然创建的克隆电子邮件无法直接访问之前的通信，但可以用来重新登录这些服务，进而提取人力资源系统中的敏感数据，如税务文件、保险信息和社会安全号码。

研究人员发现，当前有116,481个已关闭公司的域名可供购买。谷歌的OAuth系统中，sub声明旨在为每个用户提供唯一且不可变的标识符，但其不一致率约为0.04%，导致下游服务如Slack和Notion完全依赖于电子邮件和域名声明。新域名的所有者可以继承这些声明，从而冒充前员工。

为了解决这一问题，研究人员建议谷歌引入不可变标识符，例如与原始组织绑定的唯一用户ID和工作区ID。此外，SaaS提供商可以实施额外措施，如交叉验证域名注册日期和强制管理员级别的账户访问批准。然而，这些措施可能会增加成本和技术复杂性，且对已关闭公司的前客户保护有限。随着时间的推移，这一问题影响着数百万用户和成千上万的公司，风险不断增加。