تستخدم الكثير من الشركات الناشئة مجموعة الإنتاجية من Google، والمعروفة باسم Workspace، للتعامل مع البريد الإلكتروني والمستندات ومسائل المكتب الخلفي الأخرى. وعلى نحو متصل، تستخدم الكثير من تطبيقات الويب ذات التوجه التجاري بروتوكول OAuth من Google، على سبيل المثال “Sign in with Google.” إنها عبارة عن حلقة ردود فعل منخفضة الاحتكاك – حتى فشل بدء التشغيل، ويتم عرض النطاق للبيع، وينسى شخص ما إغلاق جميع عناصر Google.
ديلان أيري، من شركة Truffle Security Co.”https://trufflesecurity.com/blog/millions-at-risk-due-to-google-s-oauth-flaw”> يقترح في التقرير أن هذه المشكلة أكثر خطورة مما يعترف به أي شخص، وخاصة جوجل. ترتكب العديد من الشركات الناشئة خطأً فادحًا يتمثل في عدم إغلاق حساباتها بشكل صحيح – على كل من Google والتطبيقات الأخرى المستندة إلى الويب – قبل السماح بانتهاء صلاحية نطاقاتها.
بالنظر إلى عدد الأشخاص الذين يعملون في شركات ناشئة في مجال التكنولوجيا (6 ملايين)، ومعدل فشل الشركات الناشئة المذكورة (90 بالمائة)، واستخدامهم لمساحات عمل Google (50 بالمائة، كل ذلك وفقًا لأرقام أيري)، والسرعة التي تميل بها الشركات الناشئة إلى الانهيار ، هناك الكثير من النطاقات المرتبطة بمصادقة Google معروضة للبيع في أي وقت. لن تكون هذه مشكلة متأصلة، إلا أنه، كما يوضح أيري، فإن شراء نطاق بحساب Google لا يزال نشطًا يمكن أن يسمح لك بإعادة تنشيط حسابات Google للموظفين السابقين.
من خلال وصول المشرف إلى هذه الحسابات، يمكنك الدخول إلى العديد من الخدمات التي استخدموا فيها OAuth من Google لتسجيل الدخول، مثل أنظمة Slack وChatGPT وZoom وHR. يكتب أيري أنه اشترى نطاق بدء التشغيل البائد وتمكن من الوصول إلى كل واحد من هذه النطاقات من خلال عمليات تسجيل الدخول إلى حساب Google. وانتهى به الأمر بالحصول على المستندات الضريبية، وتفاصيل المقابلة الوظيفية، والرسائل المباشرة، من بين مواد حساسة أخرى.
يجب عليك إغلاق المتجر، وليس مجرد التخلي عنه
تم الوصول للتعليق، وقدم متحدث باسم Google بيانًا:
نحن نقدر مساعدة Dylan Ayrey في تحديد المخاطر الناجمة عن نسيان العملاء حذف خدمات SaaS التابعة لجهات خارجية كجزء من رفض تشغيلهم. وكأفضل الممارسات، نوصي العملاء بإغلاق النطاقات التالية بشكل صحيح”https://support.google.com/a/answer/1257646?sjid=344813928108938010-NC#zippy=%2Ccancel-a-domain-verified-subscription”> هذه التعليمات لجعل هذا النوع من القضايا مستحيلا. بالإضافة إلى ذلك، نحن نشجع تطبيقات الطرف الثالث على اتباع أفضل الممارسات باستخدام معرفات الحساب الفريدة (الفرعية) للتخفيف من هذه المخاطر.
تشير تعليمات Google إلى أن إلغاء Google Workspace “doesn’t remove user accounts,” والتي تبقى حتى”https://support.google.com/a/answer/9468554?sjid=12779802837482984927-NA”>يتم حذف حساب Google الخاص بالمؤسسة.
والجدير بالذكر أن أساليب Ayrey لم تكن قادرة على الوصول إلى البيانات المخزنة داخل كل حساب Google تم إعادة تنشيطه، ولكن على منصات خارجية. في حين أن حالات اختبار وبيانات Ayrey تتعلق إلى حد كبير بالشركات الناشئة، فإن أي نطاق يستخدم حسابات Google Workspace للمصادقة مع خدمات الجهات الخارجية وفشل في حذف حساب Google الخاص به لإزالة رابط النطاق الخاص به قبل بيع النطاق يمكن أن يكون عرضة للخطر.