A KrebsOnSecurity nyomán számolt be a Google Workspace-fiók sebezhetőségről a Techradar. A több ezer fiókot érintő kibertámadás ma került nyilvánosságra.
A csalók a Workspace fiók létrehozása során felmerülő e-mail verifikációs sérülékenységet használták ki, aminek köszönhetően képesek voltak megkerülni az ellenőrzést. Ennél fogva minden olyan harmadik fél által nyújtott szolgáltatásba be tudtak jelentkezi, aminél a „Sign in with Google” opciót kínálták a hitelesítéshez. Ezen kívül vállalatoknak, cégeknek is kiadták magukat.
Hogyan működik a Google Workspace fiók létrehozási folyamata és a sérülékenység kihasználása?
Normál fiók létrehozás és e-mail verifikáció
Normál esetben a Google Workspace fiók létrehozásakor a következő lépések történnek:
- E-mail megadása: A felhasználó megad egy e-mail címet.
- E-mail verifikáció: A Google küld egy ellenőrző e-mailt erre a címre.
- Ellenőrző kód megadása: A felhasználó megkapja az e-mailt, benne egy ellenőrző kóddal. Ezt a kódot vissza kell írnia a Google felületén, ezzel igazolva, hogy valóban ő a megadott e-mail cím tulajdonosa.
- Fiók létrehozása: Az e-mail cím sikeres verifikálása után a Google létrehozza a felhasználó fiókját.
Sérülékenység kihasználása
A támadók a következő módon tudták megkerülni az e-mail verifikációs lépést:
- Különböző e-mail címek használata: A támadók egy speciálisan felépített kérést küldtek a Google-nak, amelyben egy e-mail címmel próbálták meg létrehozni a fiókot, de egy másik e-mail címet használtak az ellenőrző kód megadására.
- Verifikáció megkerülése: Ennek a speciálisan felépített kérelemnek köszönhetően a rendszer megkerülte az ellenőrző kód szükségességét, így a támadók anélkül hozhatták létre a fiókot, hogy valóban verifikálták volna az e-mail címet.
- Belépés harmadik fél szolgáltatásaiba: Miután a támadók létrehozták a fiókot, ezt a fiókot felhasználhatták a “Sign in with Google” (Bejelentkezés Google-lal) opcióval más, harmadik fél szolgáltatásaiba történő belépéshez.
Példa a támadás folyamatára
- A támadó megadja az email1@example.com címet a Google Workspace fiók létrehozásakor.
- Az e-mail verifikációs lépésnél a támadó egy speciális kérést küld, amely az email2@example.com címet használja az ellenőrző kód megadására.
- A Google rendszere, a sérülékenység miatt, elfogadja ezt a második címet anélkül, hogy valóban ellenőrizné.
- A támadó sikeresen létrehozza a fiókot az email1@example.com címmel, és ezt a fiókot felhasználhatja a “Sign in with Google” opcióval más szolgáltatásokba történő belépéshez.
Miért probléma?
Mert az ilyen típusú sérülékenységek kihasználása súlyos adatbiztonsági, szolgáltatási, bizalmi és jogi problémákat okozhat. Az adatokhoz való jogosulatlan hozzáférés, a szolgáltatásokkal való visszaélés a felhasználók pénzügyi kárát okozhatja.
A támadók hozzáférhetnek a felhasználók személyes adataihoz, például e-mail címekhez, profilinformációkhoz, kapcsolatokhoz és más érzékeny adatokhoz, amelyeket a harmadik fél szolgáltatások tárolnak. Ezáltal megszerezhetnek és hozzáférhetnek olyan szolgáltatásokhoz is, ahol pénzügyi adatok, jelszavak vagy más bizalmas információk találhatók.
Ezen kívül a támadók felhasználhatják a kompromittált fiókokat spam vagy phishing e-mailek küldésére. Egy ismerőstől érkező emailre, pedig nagyobb eséllyel kattintanak az emberek.
A Google is reagált az esetre
„Az elmúlt néhány hétben néhány, kisebb visszaélési kampányt azonosítottunk. Ezeknél az eseteknél a csalók egy speciálisan felépített kérés segítségével megkerülték a Google Workspace-fiókok létrehozása során az email-ellenőrzés lépését. Ezeket a fiókokat a regisztrációt és megkerült verifikációt követően arra tudták felhasználni, hogy a ‘Sign In with Google’ segítségével hozzáférjenek harmadik féltől származó alkalmazásokhoz”
– mondta Anu Yamunan, a Google Workspace visszaélésekért és biztonságért felelős vezetője a Krebsnek.
Azt is hozzátette, hogy a Google a probléma felfedezésétől számított 72 órán belül kijavította azt, és a biztonság kedvéért egy extra védelmi réteggel egészítette ki a fióklétrehozási folyamatot. Mint kiderült, a június végén kezdődő csalássorozat „néhány ezer” fiókot érintett.
Erről azonban megoszlanak a tapasztalatok. A TheHackerNews és a KrebsOnSecurity olvasói kommentben arról írtak, hogy a problémát már jóval korábban is tapasztalták. A kommentekből úgy tűnik, hogy a hackerek legalább két hónapig visszaéltek a sérülékenységgel, mielőtt a Google azt észrevette volna.
(Kép: trustedrviews.com)