Araşdırma göstərir ki, şirkətləri bağlanan veb saytlardan domain satın almaq, onların SaaS hesablarını açmağa imkan verə bilərGoogle bu durumu bir çatışmayanlıq olaraq ifadə edir və şirkətlərin hassas məlumatları geridə qoymamalarını təmin etmələrini tövsiyə edirAraşdırmacılar əlavə tədbirlər təklif edirlər

Mütəxəssislər, Google’ın OAuth “Google ilə daxil ol” xüsusiyyətində bir çatışmayanlıq tapmışdır ki, bu məsuliyyətsiz fəalların məlumatlarına giriş imkanı yaradırGoogle səhvin fərqliləndirilər, lakin onu düzəltmək üçün çox şey etmir, əksinə, bu məlumatların təhliki altında qalmadığından şirkətlərin əmin olmaları lazımdırZəifliyi əvvəlcə Trufflesecurity təhlükəsizlik tədqiqatçıları tərəfindən aşkar edilmişdir, onlar bu barədə Google’a 2024-cü ilin sentyabr ayının sonlarında məlumat vermişdir. Lakin yalnız şirkətin CEO və əsas təşkilatçısı Dylan Ayrey 2024-cü ilin dekabr ayında Shmoocon-da məsələni təqdim etdikdən sonra Google reaksiya vermişdir.
Google, əlavə tədbirlər təklif edir
Teoriyada nələr olur, işlərkən: Bir iş insanı HR xidməti üçün iş email hesabını və “Google ilə daxil ol” xüsusiyyətini istifadə edir. HR xidmətində işçilərin müqavilələri, ödənişləri kimi şeylər üçün istifadə edir. Bir müddət sonra, iş bağlanır və domain sonlandırır. Bundan sonra, bir təhlükəli fəal eyni domaini qeydiyyatdan keçirir və HR xidmətinə daxil olmaq üçün eyni email adresini təkrar yaradır.Sonra, HR platformasına giriş edirlər və geridə qalan bütün məlumat və fayllara daxil ola bilərlər.Google, Trufflesecurity-dən kiçik bir mükafaat verdi, lakin düzəltmə stratgiyasını izləməməyə qərar verdi: “Dylan Ayrey’in, müştərilərin əməliyyatlarını sonlandırarkən üçüncü tərəf SaaS xidmətlərini silməyi unutduğu riskləri müəyyənləşdirməyə kömək etdikdən məmnuniyyət duyuruq,” Google nümayəndəsi BleepingComputer-a bildirib.“Ən yaxşı praktika olaraq, bu növ məsələnin baş verməsini imkansız edəcək şəkildə, müştərilərə bu təklifləri izləməyimizi tövsiyə edirik. Əlavə olaraq, biz üçüncü tərəf tətbiqləri bu riski azaltmaq üçün unikal hesab müəyyənləşdiricilərindən istifadə etməyə səsləyirik.”Digər sözlərlə, geridə qalıq məlumatları qoymamaq işlərkərilərin öz məsuliyyətidir.Ayrey bir yoxlama etməsində ən azı 100,000 domainin buna görə istifadə oluna biləcəyini bildirir. O, Google’ın dəyişilməz müəyyənləşdiricilər təqdim etməsini, SaaS təminatçılarının isə domain qeydiyyat tarixlərini kross-kəsənləşdirmələrini tövsiyyə edirler.BleepingComputer vasitəsilə