Tecnología, Internet y juegos
11 meneos
74 clics
Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

Millones de estadounidenses podrían sufrir el robo de sus datos debido a una deficiencia en el flujo de autenticación "Iniciar sesión con Google". Si has trabajado para una startup en el pasado, especialmente una que ya haya cerrado, podrías ser vulnerable. He demostrado este fallo iniciando sesión en cuentas que no me pertenecen, y Google respondió que este comportamiento "funciona según lo previsto".

| etiquetas: seguridad informática , fallo , vulnerabilidad , dominios
9 2 0 K 39
16 comentarios
9 2 0 K 39
Heni #2 Heni *
A ver, en este caso particular tiene razón Google, si te haces con el dominio de una empresa que cerró claro que puedes acceder a los servicios que dependan de su email para loguearse pero no sólo el oauth de Google, pasa con todo, por ejemplo solicitando recuperar contraseña... pero es que no tiene solución, es como comprar las oficinas de una empresa que cerró y dejase los documentos o los pcs(sin cifrar los discos), quien venga detrás puede acceder a esa info.

Lo que habría que plantearse es inculcar en las empresas a que tiviesen un "plan de cierre" que incluyese el borrado de estos datos y cuentas de estos servicios
3 K 59
angelitoMagno #3 angelitoMagno
#2 O que seas usuario de Github y esta sea comprada por Microsoft

¿Tendrían que haber reseteado todas las cuentas? :shit:
0 K 15
Heni #4 Heni *
#3 No es eso, te pongo un ejemplo de github:

Supongamos una empresa que tenía el dominio empresa.com y usaba sus correos empresariales para tener cuentas en githhub, por ejemplo [email protected], existe la posibilidad de que si no cierran la cuenta de github al cerrar la empresa, y viene alguien detrás y registra de nuevo ese dominio empresa.com, y sabe que había una cuenta en github con el email [email protected], puede acceder a los repositorios privados ya que puede activar de nuevo ese email y solicitar cambiar contraseña (obviemos que no tuviese verificación en 2 pasos para simplificar)

Empresa.com antes de cerrar debería haber hecho limpieza y borrado todas esas cuentas en la nube
2 K 39
angelitoMagno #5 angelitoMagno *
#4 Vale, lo había entendido mal. Pues es un poco más peliagudo, pero me sigue pareciendo un caso muy difícil que se de en la práctica.

Añado: Y que se soluciona con 2FA.
1 K 22
frg #9 frg
#3 Si, algo parecido. Si tenías cuenta y datos en Github, ahora los tiene Microsoft.
0 K 12
#12 Stv.2
#3 No es exactamente lo mismo, pero en cierta forma eso también es una vulnerabilidad, o al menos un tema para tener en consideración. Eso pasa habitualmente con aplicaciones, tu la tienes instalada en el móvil porque es fiable, la aplicación se vende, y alguien la actualiza para incluir malware. Sobre todo con aplicaciones más desconocidas y de desarrolladores pequeños.
0 K 7
#11 Stv.2
#2 Se parece más a cuando te mudas y te olvidas cambiar de dirección, todas tus domiciliaciones, publicidad, lo que sea, piensa que sigues viviendo ahí.

Me pregunto si será viable que los nombres de dominio vengan con información corroborable adicional, de forma que si cambia el dueño, aunque sea el mismo nombre sea irreconocible.
0 K 7
Aokromes #16 Aokromes
#11 es tan facil como verificar que dominio tiene una fecha de registro anterior a la creaccion del oauth.
0 K 10
angelitoMagno #1 angelitoMagno *
La vulnerabilidad:

Usas OAuth para entrar en miaplicacionguay.com, perteneciente a la empresa A.
miaplicacionguay.com cierra.
La empresa B compra el dominio y reabre miaplicacionguay.com
Te autenticas de nuevo.

La empresa B tiene tus datos.

Peligrosidad de esta "vulnerabilidad", creo que nula.
2 K 46
Aokromes #6 Aokromes
#1 yo años a avise a redhat que su dominio redhat.com habia caducado y estaba a la venta.
0 K 10
frg #8 frg
#6 ¡Menudo emprendedor! Si dejas escapar oportunidades de negocio así de claras acabarás trabajando en Tuiter o algo peor. :troll:
0 K 12
Aokromes #15 Aokromes
#8 quita pedian decenas de miles de dolares por el dominio que me quitarian en 0,
0 K 10
#10 Stv.2
#1 Todo depende, esas vulnerabilidades no son peligrosas hasta que alguien encuentra alguna forma sorprende de explotarlas, sigue siendo una vulnerabilidad.
0 K 7
#7 Tecar *
No es un fallo de oAuth.
Es un problema de uso de cuentas de correo electrónico.
Aparte de que si una empresa tiene un dominio ".empresa.com" y desaparece sin hacerse cargo de eliminar sus cuentas repositorios etc, es que en realidad le importa poco lo que tenga asociado a ellas. Cualquiera que lo registre de nuevo, lo lógico es que herede todo los contenidos.
Si algún empleado tenía contenidos personales asociados esto ya es un problema de cultura del personal.
Es como si compras una oficina y dentro te encuentras cajas con dinero que los empleados escondían.
El problema es que hay gente que se aprovecha de la desidia y recompra dominios olvidados a ver si cae algo.
1 K 19
#13 Stv.2 *
#7 Una cosa, si una empresa desaparece uno de los casos es que sea por quiebra, en ese caso es difícil que reaccione adecuadamente, sobre todo si eso va de la mano con despidos, rotación de empleados por condiciones precarias, etc.

Muchas veces se va gente clave, y el que queda no sabe cómo está montado todo. Lo mismo tendría más sentido que esos dominios estuvieran bloqueados años.
0 K 7
#14 NireeN
No es un bug, es una feature. Un clásico.
0 K 6
comentarios cerrados

menéame