
Penelitian baru telah mengungkap “kekurangan” dalam alur autentikasi “Masuk dengan Google” Google yang mengeksploitasi kekhasan dalam kepemilikan domain untuk mendapatkan akses ke data sensitif.
“Login OAuth Google tidak melindungi terhadap seseorang yang membeli domain startup yang gagal dan menggunakannya untuk membuat ulang akun email untuk mantan karyawan,” kata salah satu pendiri dan CEO Truffle Security Dylan Ayrey dalam laporan Senin.
“Dan meskipun Anda tidak dapat mengakses data email lama, Anda dapat menggunakan akun tersebut untuk masuk ke semua produk SaaS berbeda yang digunakan organisasi.”

Perusahaan yang berbasis di San Francisco mengatakan masalah ini berpotensi membahayakan data jutaan pengguna Amerika hanya dengan membeli domain mati yang terkait dengan startup yang gagal dan mendapatkan akses tidak sah ke akun karyawan lama yang terkait dengan berbagai aplikasi seperti OpenAI ChatGPT, Slack , Notion, Zoom, dan bahkan sistem HR.
“Akun yang paling sensitif mencakup sistem SDM, yang berisi dokumen pajak, bukti pembayaran, informasi asuransi, nomor jaminan sosial, dan banyak lagi,” kata Ayrey. “Platform wawancara juga berisi informasi sensitif tentang masukan, tawaran, dan penolakan kandidat.”
OAuth, singkatan dari otorisasi terbuka, mengacu pada standar terbuka untuk delegasi akses, yang memungkinkan pengguna memberikan situs web atau aplikasi akses ke informasi mereka di situs web lain tanpa harus memberikan kata sandi mereka. Hal ini dicapai dengan memanfaatkan token akses untuk memverifikasi identitas pengguna dan mengizinkan layanan mengakses sumber daya yang dimaksudkan untuk token tersebut.

Saat “Masuk dengan Google” digunakan untuk masuk ke aplikasi seperti Slack, Google mengirimkan serangkaian klaim tentang pengguna kepada layanan, termasuk alamat email dan domain yang dihosting, yang kemudian dapat digunakan untuk memasukkan pengguna ke akun mereka. akun.
Ini juga berarti bahwa jika suatu layanan hanya mengandalkan informasi ini untuk mengautentikasi pengguna, hal ini juga membuka pintu bagi skenario di mana perubahan kepemilikan domain dapat memungkinkan penyerang mendapatkan kembali akses ke akun karyawan lama.
Truffle juga menunjukkan bahwa token ID OAuth Google menyertakan pengenal pengguna unik – sub klaim – yang secara teoritis dapat mencegah masalah, namun ternyata tidak dapat diandalkan. Perlu dicatat bahwa token Entra ID Microsoft menyertakan klaim sub atau oid untuk menyimpan nilai yang tidak dapat diubah per pengguna.

Meskipun Google pada awalnya menanggapi pengungkapan kerentanan dengan menyatakan bahwa ini adalah perilaku yang disengaja, Google telah membuka kembali laporan bug tersebut pada 19 Desember 2024, dan memberi Ayrey hadiah sebesar $1.337. Mereka juga mengklasifikasikan isu ini sebagai “metodologi terkait penyalahgunaan yang berdampak besar”.
Sementara itu, tidak ada perlindungan yang dapat dilakukan oleh penyedia perangkat lunak hilir untuk melindungi dari kerentanan dalam penerapan OAuth Google. The Hacker News telah menghubungi Google untuk memberikan komentar lebih lanjut, dan kami akan memperbarui ceritanya jika kami mendengarnya kembali.
“Sebagai individu, setelah Anda keluar dari sebuah startup, Anda kehilangan kemampuan untuk melindungi data Anda di akun-akun tersebut, dan Anda akan menghadapi nasib apa pun yang menimpa masa depan startup dan domain tersebut,” kata Ayrey. “Tanpa pengidentifikasi pengguna dan ruang kerja yang tidak dapat diubah, perubahan kepemilikan domain akan terus membahayakan akun.”