Falha parcial em alguns recursos do Google OAuth

Vulnerabilidade encontrada no Google OAuth

• Foi descoberta uma vulnerabilidade no Google OAuth que permite que funcionários desligados da empresa mantenham acesso indefinido a aplicações como Slack e Zoom.
• Essa vulnerabilidade pode ser facilmente entendida e explorada até por pessoas sem perfil técnico, e o Google ainda não tomou medidas para reduzir esse risco.
• A linha do tempo do incidente é a seguinte: em 4 de agosto, a vulnerabilidade foi reportada ao Google, com expectativa de que centenas de aplicações fossem afetadas. Em 7 de agosto, o problema foi classificado. Em 5 de outubro, o Google pagou US$ 1337 pelo problema. Em 25 de novembro, houve uma divulgação privada em massa para dezenas de aplicações afetadas, incluindo Zoom e Slack. Em 16 de dezembro, o caso foi divulgado 134 dias após a notificação ao Google.

Contexto

• Um dos beta testers da ferramenta Forager, da Truffle Security, encontrou e divulgou um login afetado por uma vulnerabilidade no Microsoft OAuth.
• Houve surpresa ao constatar que a Microsoft enviava declarações de e-mail não geradas nem validadas pela própria Microsoft, e que a própria declaração de e-mail não era confiável.
• Isso levou à descoberta, na documentação OIDC do Google, de um alerta contra o uso de e-mail como identificador.

Contas Google que não são Gmail

• É possível criar uma conta Google usando um endereço de e-mail existente que não seja Gmail.
• Essas novas contas Google podem enviar uma declaração de e-mail do Yahoo.
• O motivo de a documentação do Google dizer para não usar e-mail como identificador principal é que, se um e-mail que não é Gmail for editado nas configurações e uma nova conta for criada depois com o e-mail usado anteriormente, duas contas Google diferentes podem enviar a mesma declaração de e-mail.

Onde está o problema

• É possível criar contas Google usando aliases de e-mail e encaminhamento com sinal de mais em e-mails por meio de uma organização corporativa do Google.
• Esses endereços de e-mail são processados por muitas das organizações afetadas, que decidem se o login é permitido com base no domínio no fim do e-mail.
• Essas contas Google que não são Gmail na prática não são membros da organização Google, então não aparecem nas configurações de administrador nem na lista de usuários do Google.

Como mitigar

• As organizações podem se proteger desativando o login via Google e aplicando SAML de forma rigorosa.
• Os provedores de serviço têm um meio de determinar a associação a uma organização Google, mas a claim hd é omitida em contas que não pertencem à organização Google.
• O Google pode tomar várias medidas para corrigir esse problema de forma ampla para todos.

Impacto adicional

• Existe a possibilidade técnica de acessar o Zoom e o Slack de uma organização mesmo sem ter acesso inicial a eles.
• Por meio de determinados sistemas de suporte e tickets, como o Zendesk, é possível criar tickets de suporte por e-mail e, com isso, criar uma conta Google e entrar via OAuth.

Considerações finais

• O fato de ex-funcionários continuarem tendo acesso a plataformas como Slack e Zoom por causa de uma brecha no sistema OAuth do Google não é um simples descuido, mas uma falha grave de segurança.
• O Google tem capacidade para aplicar correções amplas para mitigar esse problema, e o objetivo da divulgação pública é provocar mudanças reais.
• O Google classificou o problema rapidamente, mas não seguiu sua própria prática recomendada de resolver o caso em até 90 dias, e por isso o problema foi divulgado no 134º dia.

Opinião do GN⁺

• Este artigo expõe um sério problema de segurança em que ex-funcionários podem continuar acessando plataformas críticas de comunicação da empresa por meio de uma vulnerabilidade no sistema Google OAuth.
• Vulnerabilidades desse tipo podem representar uma grande ameaça à segurança das informações internas das empresas, com potencial de vazamento de dados sensíveis.
• O fato de o Google não ter tomado medidas ativas em relação a esse problema levanta uma questão importante de segurança tanto para empresas quanto para usuários individuais, destacando a necessidade de maior conscientização em cibersegurança e de protocolos de segurança mais robustos.