Xảy ra sự cố với một số chức năng của Google OAuth

Phát hiện lỗ hổng Google OAuth

• Một lỗ hổng trong Google OAuth đã được phát hiện, khiến nhân viên đã rời công ty có thể truy cập vô thời hạn vào các ứng dụng như Slack và Zoom.
• Lỗ hổng này đủ dễ hiểu và dễ khai thác ngay cả với công chúng không chuyên kỹ thuật, nhưng Google vẫn chưa thực hiện biện pháp nào để giảm thiểu rủi ro này.
• Dòng thời gian của sự việc như sau: ngày 4 tháng 8 báo cáo lỗ hổng cho Google, dự kiến hàng trăm ứng dụng sẽ bị ảnh hưởng. Ngày 7 tháng 8 vấn đề được phân loại. Ngày 5 tháng 10 Google chi trả $1337 cho vấn đề này. Ngày 25 tháng 11 công bố riêng tư hàng loạt tới hàng chục ứng dụng bị ảnh hưởng, bao gồm Zoom và Slack. Ngày 16 tháng 12, tức 134 ngày sau khi thông báo cho Google, lỗ hổng được công khai.

Bối cảnh

• Đã có một sự việc khi một beta tester của công cụ Forager từ Truffle Security phát hiện và công bố một đăng nhập bị ảnh hưởng bởi lỗ hổng Microsoft OAuth.
• Họ ngạc nhiên khi Microsoft gửi các khai báo email không do Microsoft tạo ra hoặc xác minh, và bản thân khai báo email lại không đáng tin cậy.
• Họ tìm thấy trong tài liệu OIDC của Google một cảnh báo về việc sử dụng email làm định danh.

Tài khoản Google không dùng Gmail

• Có thể tạo tài khoản Google bằng một địa chỉ email hiện có không phải Gmail.
• Những tài khoản Google mới này có thể gửi khai báo email Yahoo.
• Lý do tài liệu của Google khuyến cáo không nên dùng email làm định danh chính là vì nếu chỉnh sửa email không phải Gmail trong phần cài đặt, rồi một tài khoản mới được tạo bằng địa chỉ email đã chỉnh sửa trước đó, thì hai tài khoản Google khác nhau có thể gửi cùng một khai báo email.

Phần gây ra vấn đề

• Có thể tạo tài khoản Google thông qua tổ chức Google doanh nghiệp bằng cách dùng bí danh email và chuyển tiếp email với dấu cộng.
• Nhiều tổ chức bị ảnh hưởng phân tích các địa chỉ email này và quyết định có cho phép đăng nhập hay không dựa trên miền ở cuối email.
• Các tài khoản Google không dùng Gmail này trên thực tế không phải thành viên của tổ chức Google, nên không xuất hiện trong cài đặt quản trị hoặc danh sách người dùng Google của tổ chức.

Cách khắc phục

• Các tổ chức có thể tự bảo vệ bằng cách vô hiệu hóa đăng nhập Google và áp dụng nghiêm ngặt SAML.
• Nhà cung cấp dịch vụ có cách xác định tư cách thành viên của tổ chức Google, nhưng khai báo HD sẽ bị lược bỏ với những tài khoản không phải thành viên của tổ chức Google.
• Google có thể thực hiện nhiều bước để khắc phục vấn đề này trên diện rộng cho tất cả mọi người.

Tác động bổ sung

• Về mặt kỹ thuật, vẫn có khả năng truy cập Zoom và Slack của tổ chức ngay cả khi ban đầu không có quyền truy cập.
• Thông qua một số hệ thống hỗ trợ và ticket như Zendesk, có thể tạo ticket hỗ trợ bằng email, từ đó tạo tài khoản Google và đăng nhập qua OAuth.

Suy nghĩ cuối cùng

• Việc cựu nhân viên có thể tiếp tục truy cập các nền tảng như Slack và Zoom do lỗ hổng trong hệ thống OAuth của Google không phải chỉ là một sơ suất đơn giản, mà là một lỗi bảo mật nghiêm trọng.
• Google có khả năng áp dụng các sửa đổi trên diện rộng để giảm thiểu vấn đề này, và mục đích của việc công khai là thúc đẩy thay đổi thực sự.
• Dù Google đã nhanh chóng phân loại vấn đề, họ lại không tuân theo thông lệ tốt nhất nội bộ là xử lý trong vòng 90 ngày, nên lỗ hổng này được công khai vào ngày thứ 134.

Ý kiến của GN⁺

• Bài viết này phơi bày một vấn đề bảo mật nghiêm trọng: thông qua lỗ hổng trong hệ thống Google OAuth, nhân viên đã nghỉ việc vẫn có thể tiếp tục truy cập các nền tảng liên lạc quan trọng của công ty.
• Những lỗ hổng như vậy có thể trở thành mối đe dọa lớn đối với bảo mật thông tin nội bộ của doanh nghiệp, làm tăng khả năng rò rỉ dữ liệu nhạy cảm.
• Việc Google không có hành động tích cực với vấn đề này đặt ra một mối lo bảo mật quan trọng cho cả doanh nghiệp lẫn người dùng cá nhân, đồng thời nhấn mạnh sự cần thiết phải nâng cao nhận thức an ninh mạng và củng cố các giao thức bảo mật.