Uma pesquisa recente revelou uma vulnerabilidade no fluxo da famosa autenticação “Fazer login o Google” do Google, que pode explorar uma peculiaridade na propriedade de um domínio para assim se obter acesso a dados confidenciais.

O login OAuth do Google não protege adequadamente para os casos em que alguém com má fé compra um domínio de uma startup que já “fechou as portas” e o utiliza para recriar contas de e-mail para ex-funcionários”, disse o cofundador e CEO da Truflle Security, Dylan Ayrey, em um relatório publicado na segunda-feira (13/01/25).

Mesmo que você não possa acessar dados de e-mails antigos, poderá utilizar essas contas para fazer login em vários produtos SaaS que a organização usou.

Essas contas incluíam acessos sensíveis em sistemas de RH que continham documentos fiscais, recibos de pagamento, informações de seguro, números de previdência social e muito mais, disse Ayrey.

O que é o OAuth?

OAuth, abreviação para Open Authentication (Autenticação Aberta). refere-se a um padrão aberto para delegação de acesso, permitindo que usuários concedam a sites ou aplicativos acessos às suas informações em outros sites sem ter que fornecer suas senhas. Isso é feito por meio de um token de acesso que verifica a identidade do usuário e permite que o serviço acesse o recurso ao qual o token se destina.

Quando o recurso “Fazer login com o Google” é usado para o login em um aplicativo como Slack, o Google envia ao serviço um conjunto de declarações sobre o usuário, incluindo seu endereço de e-mail e o domínio hospedado (o domínio em que usuário está realizando login pelo Google), que podem ser utilizadas (as declarações) para fazer login dos usuários em suas contas.

O problema

Continuando, isso também significa que, se um serviço depende exclusivamente dessas informações para autenticar usuários, também acabará abrindo uma porta para um cenário em que mudanças na propriedade de domínios podem permitir que um invasor recupere o acesso a contas antigas de funcionários.

O CEO da Truffle também destacou que o token referente ao OAuth ID do Google inclui um identificador exclusivo de usuário – a reivindicação sub – que na teoria poderia evitar o problema, mas que não foi considerado confiável. Vale comentar que o Entra ID da Microsoft inclui as reivindicações sub ou oid para armazenar um valor imutável por usuário.

Atualmente não existem muitas medidas de proteção que os provedores de software podem tomar contra esta vulnerabilidade de implementação do OAuth do Google.

Como indivíduo, após você ser desligado de uma empresa, acaba perdendo a capacidade de proteger seus dados nessas contas e ficará sujeito ao que ocorrer com o futuro desta empresa. Sem IDs imutáveis, as alterações de propriedade de domínios continuarão a comprometer as contas, disse Ayrey.

Créditos:

https://thehackernews.com/2025/01/google-oauth-vulnerability-exposes.html