Как будто потеря работы в случае краха стартапа, в котором вы работаете, не так уж и плоха, теперь исследователь безопасности обнаружил, что сотрудники неудавшихся стартапов подвергаются особому риску кражи своих данных. Это варьируется от их личных сообщений в Slack до номеров социального страхования и, возможно, банковских счетов.
Исследователь, обнаруживший проблему, — Дилан Эйри, соучредитель и генеральный директор стартапа Truffle Security, поддерживаемого Андреессеном Горовицем. Эйри наиболее известен как создатель популярного проекта с открытым исходным кодом TruffleHog, который помогает отслеживать утечки данных, если злоумышленники получают инструменты для входа в систему (т. е. ключи API, пароли и токены).
Эйри также является восходящей звездой в мире охоты на насекомых. На прошлой неделе на конференции по безопасности ShmooCon он рассказал об обнаруженном им недостатке в Google OAuth, технологии, лежащей в основе «Войти через Google», которую люди могут использовать вместо паролей.
Эйри выступил с докладом после того, как сообщил об уязвимости Google и другим компаниям, которые могли быть затронуты, и смог поделиться подробностями о ней, поскольку Google не запрещает своим охотникам за ошибками рассказывать о своих открытиях. (Например, проект Google Project Zero десятилетней давности часто демонстрирует недостатки, которые он находит в продуктах других технологических гигантов, таких как Microsoft Windows.)
Он обнаружил, что если злонамеренные хакеры купят несуществующие домены неудавшегося стартапа, они смогут использовать их для входа в облачное программное обеспечение, настроенное так, чтобы каждый сотрудник компании имел доступ, например, к корпоративному чату или видеоприложению. Отсюда многие из этих приложений предлагают каталоги компаний или страницы с информацией о пользователях, где хакер может обнаружить настоящие электронные письма бывших сотрудников.
Вооружившись доменом и этими электронными письмами, хакеры могут использовать опцию «Войти через Google» для доступа ко многим облачным программным приложениям стартапа, часто находя больше электронных писем сотрудников.
Чтобы проверить обнаруженную им уязвимость, Эйри купил домен одного неудачного стартапа и с него смог войти в ChatGPT, Slack, Notion, Zoom и систему управления персоналом, содержащую номера социального страхования.
«Возможно, это самая большая угроза», — сказал Эйри TechCrunch, поскольку данные из облачной системы управления персоналом «легче всего монетизировать, а номера социального страхования, банковскую информацию и все остальное, что находится в системах управления персоналом, вероятно, весьма вероятны». », чтобы стать мишенью. Он сказал, что старые учетные записи Gmail или документы Google, созданные сотрудниками, или любые данные, созданные с помощью приложений Google, не подвергаются риску, и Google это подтвердил.
Хотя любая обанкротившаяся компания с выставленным на продажу доменом может стать жертвой, сотрудники стартапов особенно уязвимы, поскольку стартапы, как правило, используют приложения Google и множество облачных программ для ведения своего бизнеса.
Эйри подсчитал, что риску подвергаются десятки тысяч бывших сотрудников, а также миллионы учетных записей программного обеспечения SaaS. Это основано на его исследовании, в ходе которого было обнаружено 116 000 доменов веб-сайтов, доступных в настоящее время для продажи от неудавшихся технологических стартапов.
Профилактика доступна, но не идеальна
В конфигурации OAuth у Google действительно есть технология, которая должна предотвратить риски, описанные Эйри, если ее использует облачный провайдер SaaS. Он называется «субидентификатором» и представляет собой серию чисел, уникальных для каждой учетной записи Google. Хотя сотрудник может иметь несколько адресов электронной почты, прикрепленных к его рабочей учетной записи Google, эта учетная запись всегда должна иметь только один субидентификатор.
Если это настроено, когда сотрудник входит в учетную запись облачного программного обеспечения с помощью OAuth, Google отправит как адрес электронной почты, так и дополнительный идентификатор для идентификации человека. Таким образом, даже если злоумышленники воссоздали адреса электронной почты, получив контроль над доменом, они не смогут воссоздать эти идентификаторы.
Но Эйри, работая с одним из затронутых SaaS HR-провайдеров, обнаружил, что этот идентификатор, по его словам, «ненадежен». Это означает, что HR-провайдер обнаружил, что он менялся в очень небольшом проценте случаев: 0,04%. Статистически это может быть близко к нулю, но для HR-провайдера, ежедневно обслуживающего огромное количество пользователей, это приводит к сотням неудачных входов в систему каждую неделю, блокируя людям доступ к их учетным записям. Вот почему этот облачный провайдер не хотел использовать субидентификатор Google, сказал Эйри.
Google оспаривает факт изменения субидентификатора. Поскольку этот вывод был сделан поставщиком облачных услуг по управлению персоналом, а не исследователем, он не был отправлен в Google как часть отчета об ошибке. Google заявляет, что если когда-нибудь увидит доказательства того, что субидентификатор ненадежен, компания примет меры.
Google передумал
Но Google также сомневался в том, насколько важен этот вопрос вообще. Сначала Google вообще отклонил ошибку Эйри, сразу же закрыв заявку и заявив, что это не ошибка, а проблема «мошенничества». Google не был полностью неправ. Этот риск возникает из-за того, что хакеры контролируют домены и злоупотребляют учетными записями электронной почты, которые они воссоздают через них. Эйри не завидовал первоначальному решению Google, назвав это проблемой конфиденциальности данных, поскольку программное обеспечение Google OAuth работало должным образом, хотя пользователи все равно могли пострадать. «Это не так однозначно», сказал он.
Но три месяца спустя, сразу после того, как его выступление было принято ShmooCon, Google передумал, снова открыл заявку и выплатил Эйри вознаграждение в размере 1337 долларов. Похожая вещь произошла с ним в 2021 году, когда Google вновь открыл его заявку после того, как он выступил с чрезвычайно популярным докладом о своих открытиях на конференции по кибербезопасности Black Hat. Google даже наградил Эйри и его партнера по поиску ошибок Эллисон Донован третьей премией в своей ежегодной премии для исследователей безопасности (вместе с 73 331 долларом).
Google еще не выпустил ни технического исправления этой ошибки, ни сроков, когда это может быть сделано — и неясно, внесет ли Google когда-либо технические изменения, чтобы каким-то образом решить эту проблему. Однако компания обновила свою документацию, указав поставщикам облачных услуг использовать субидентификатор. Google также предлагает основателям инструкции о том, как компаниям следует правильно закрыть Google Workspace и предотвратить проблему.
В конечном итоге, по словам Google, решение заключается в том, что основатели закроют компанию, чтобы убедиться, что они правильно закрыли все свои облачные сервисы. «Мы ценим помощь Дилана Эйри в выявлении рисков, связанных с тем, что клиенты забывают удалить сторонние SaaS-сервисы в рамках отказа от их работы», — сказал представитель.
Эйри, сам основатель, понимает, почему многие основатели могли не позаботиться о том, чтобы их облачные сервисы были отключены. Закрытие компании на самом деле представляет собой сложный процесс, выполняемый в эмоционально болезненное время. Он включает в себя множество вопросов: от утилизации компьютеров сотрудников до закрытия банковских счетов и уплаты налогов.
«Когда основателю приходится иметь дело с закрытием компании, у него, вероятно, не хватает свободного времени, чтобы думать обо всем, о чем ему нужно думать», — говорит Эйри.
