Vulnerabilità OAuth di Google: come proteggere i dati aziendali

Punti principali:
Cosa è importante sapere:

Un bug nel sistema OAuth di Google espone milioni di dati aziendali. Dominio abbandonato = accesso ai tuoi dati sensibili. Gli audit dei domini aziendali e soluzioni di autenticazione robuste sono la priorità

Tempo di lettura: 5 minuti
Punti principali:

Un recente studio ha rivelato una vulnerabilità nel sistema di autenticazione “Accedi con Google”, che espone milioni di dati sensibili. Come può accadere? Chi è a rischio? Cosa devono sapere le aziende? Scopriamolo insieme.

Dove si trova il problema?

La vulnerabilità si trova nel flusso di autenticazione OAuth di Google, utilizzato da milioni di persone per accedere a servizi come Slack, Notion, e persino piattaforme HR. Ma dove nasce il rischio? Quando un dominio di una startup fallita viene acquistato da terzi, gli account email collegati possono essere ricreati. Questo apre le porte all’accesso non autorizzato a dati e servizi sensibili.

Quali aziende sono più vulnerabili?

Le aziende che usano “Accedi con Google” per i loro strumenti SaaS sono particolarmente a rischio. Tra i servizi citati ci sono:

  • OpenAI ChatGPT
  • Slack
  • Notion
  • Zoom
  • Sistemi HR (con dati sensibili come buste paga, documenti fiscali e numeri di previdenza sociale)

Chi potrebbe sfruttare questa vulnerabilità? Cybercriminali o persone interessate a dati sensibili per scopi malevoli.

Perché questa vulnerabilità è così critica?

Il problema risiede nell’autenticazione basata sull’email e sul dominio. Quando una startup chiude e il suo dominio viene acquistato, gli account degli ex dipendenti possono essere ricreati. Questo permette di accedere ai dati senza alcuna violazione tecnica diretta. Perché Google non lo ha risolto? Nonostante l’uso del token OAuth, la protezione non è sufficiente per garantire l’integrità degli account in caso di cambiamento del dominio.

Come funziona l’autenticazione OAuth?

OAuth è un protocollo di autorizzazione che consente agli utenti di accedere a servizi senza condividere le loro password. Google invia un token di accesso con informazioni sull’utente, come l’indirizzo email e il dominio ospitante. Ma cosa succede quando cambia il dominio? Se un servizio si basa esclusivamente su queste informazioni, un nuovo proprietario del dominio può usarle per accedere agli account.

Esistono soluzioni alternative?

Microsoft, ad esempio, utilizza un identificatore immutabile per ogni utente, riducendo il rischio di accessi non autorizzati legati al cambio di dominio. Tuttavia, Google non ha ancora implementato una soluzione simile.

La nota tecnica

La vulnerabilità individuata nel sistema OAuth di Google deriva dalla mancanza di identificatori immutabili per gli utenti nei token di accesso. Questo problema permette agli aggressori di ricreare account email su domini acquistati, ottenendo accesso non autorizzato a piattaforme aziendali collegate. Nonostante il protocollo OAuth utilizzi un token per autenticare gli utenti, esso si basa su informazioni facilmente manipolabili, come l’indirizzo email e il dominio ospitante.Microsoft, al contrario, adotta identificatori immutabili nei suoi Entra ID token, utilizzando i claim “sub” o “oid” per garantire che ogni utente mantenga un’identità unica indipendentemente dal dominio. Google potrebbe mitigare il problema implementando una logica simile, ma attualmente la sua struttura rende difficile prevenire scenari di abuso.Le aziende che utilizzano SaaS dovrebbero effettuare audit regolari sui domini collegati e valutare l’adozione di sistemi di autenticazione basati su identificatori univoci. Questo approccio è fondamentale per garantire che le modifiche di proprietà dei domini non compromettano i dati sensibili.

 

Quando è stato scoperto il problema?

La vulnerabilità è stata resa nota a dicembre 2024, con un rapporto dettagliato da Truffle Security. Chi ha segnalato il problema? Dylan Ayrey, CEO di Truffle Security, ha evidenziato come il sistema OAuth possa essere sfruttato per ottenere accessi non autorizzati. Google ha inizialmente respinto la segnalazione, ma ha successivamente riaperto il caso, classificandolo come un problema di abuso con alto impatto.

Come si stanno muovendo i fornitori?

Al momento, non ci sono misure specifiche che i fornitori SaaS possano adottare per proteggere i propri utenti da questa vulnerabilità. Le aziende devono rimanere vigili e considerare alternative per proteggere i propri dati.

Cosa significa per le aziende?

Quali rischi corrono le aziende?

  1. Perdita di dati sensibili come:
    • Documenti fiscali
    • Informazioni sui candidati
    • Feedback interni
  2. Accesso non autorizzato ai sistemi interni, con potenziali danni alla reputazione e violazioni della privacy.

Chi è responsabile? Anche se Google è il provider del sistema OAuth, le aziende devono prendere provvedimenti per ridurre i rischi.

Illustrazione di un dominio acquistato con conseguenze sulla sicurezza.

L’acquisto di domini abbandonati può portare a rischi significativi.

Quali passi possono intraprendere le aziende?

Ecco alcune azioni immediate per mitigare i rischi:

  • Monitoraggio dei domini: Verificare che i domini collegati siano attivi e sotto il controllo aziendale.
  • Revisione delle autorizzazioni: Limitare gli accessi ai sistemi solo al personale attivo.
  • Autenticazione robusta: Considerare soluzioni che utilizzano identificatori immutabili, come quelle offerte da Microsoft.

Dove cercare supporto?

Le aziende possono rivolgersi a esperti di sicurezza informatica per una valutazione approfondita delle loro vulnerabilità. Gli audit regolari sono fondamentali per garantire la protezione dei dati sensibili.

Una vulnerabilità nascosta nei domini abbandonati

Un problema spesso ignorato riguarda cosa accade ai dati aziendali quando un dominio associato a un’organizzazione viene abbandonato. Questa situazione rappresenta una falla nella sicurezza informatica, soprattutto per chi utilizza “Accedi con Google” tramite il protocollo OAuth. La vulnerabilità permette agli aggressori di acquistare un dominio scaduto e ricreare account email di ex-dipendenti, accedendo così ai dati aziendali collegati a quei profili.Piattaforme come Slack, Notion, Zoom e persino sistemi HR possono essere compromesse, con la possibilità di ottenere accesso a informazioni sensibili quali documenti fiscali, numeri di previdenza sociale e feedback confidenziali.

Il rischio reale per la sicurezza dei dati aziendali

Immagina che una startup chiuda e il dominio associato venga venduto. Un cybercriminale potrebbe acquisire quel dominio per una cifra modesta, accedere agli account collegati e ottenere informazioni altamente riservate. Questo scenario è particolarmente pericoloso per le aziende che utilizzano soluzioni SaaS, poiché spesso i sistemi non verificano identificatori immutabili per gli utenti.Le conseguenze possono essere devastanti: perdita di fiducia dei clienti, danni alla reputazione aziendale e potenziali sanzioni legali in caso di violazione della privacy. Inoltre, molte aziende non sono consapevoli di quanto sia facile sfruttare un dominio abbandonato per accedere ai propri dati.

Come proteggere i tuoi dati con strategie mirate

Nonostante la vulnerabilità sia intrinseca al sistema OAuth di Google, le aziende possono adottare misure preventive per ridurre al minimo i rischi:

  • Audit dei domini: Assicurarsi che tutti i domini associati all’organizzazione siano sotto il controllo aziendale.
  • Revisione degli accessi: Limitare l’accesso ai sistemi aziendali solo al personale attivo, revocando tempestivamente le autorizzazioni agli ex-dipendenti.
  • Soluzioni di autenticazione alternative: Considerare piattaforme che utilizzano identificatori immutabili, come Microsoft Entra ID, per una protezione più robusta.
  • Formazione del personale: Sensibilizzare i dipendenti sull’importanza della sicurezza dei dati e delle buone pratiche per l’accesso ai sistemi aziendali.

Agire tempestivamente è essenziale per evitare che vulnerabilità come questa possano trasformarsi in gravi incidenti di sicurezza. Aziende che investono in strategie proattive non solo proteggono i propri dati, ma rafforzano la fiducia dei clienti e preservano la loro reputazione nel mercato.

Questa vulnerabilità evidenzia l’importanza di un approccio proattivo alla sicurezza informatica. Chi deve agire? Tutte le aziende che utilizzano sistemi SaaS basati su OAuth devono essere consapevoli dei rischi e adottare misure preventive.

Proteggere i dati aziendali non è mai stato così importante. Rimani aggiornato su Cyber24.it per ulteriori approfondimenti.

Post appena pubblicati

Smishing SMS Poste Italiane: come proteggere i tuoi dati bancari

Scareware: come riconoscere e difendersi dalle false minacce

Protezione dati: come difendersi con password sicure e alias email

Furto di credenziali: minaccia crescente per le aziende

Le password più comuni in Italia nel 2024: i rischi per le aziende

Proteggi i tuoi dati: scopri come evitare gli SMS falsi INPS

Come proteggere il tuo sito web dalle backdoor nascoste

Vulnerabilità OAuth di Google: come proteggere i dati aziendali

Seguici e Rimani informato

Iscriviti alla newsletter e sarai tra i primi ad essere informato su nuovi contenuti

Clicca Qui