Google OAuth'ta bazı işlevlerde kesinti yaşandı

Google OAuth açığı bulundu

• Google OAuth'ta bir açık bulundu ve bu açık nedeniyle şirketten ayrılan çalışanlar Slack, Zoom gibi uygulamalara süresiz erişim sağlayabiliyor.
• Bu açık, teknik olmayan kullanıcıların bile kolayca anlayıp kötüye kullanabileceği türden ve Google henüz bu riski azaltmak için bir adım atmış değil.
• Olayın zaman çizelgesi şöyle: 4 Ağustos'ta açık Google'a bildirildi ve yüzlerce uygulamanın etkilenmesinin beklendiği belirtildi. 7 Ağustos'ta sorun sınıflandırıldı. 5 Ekim'de Google bu sorun için $1337 ödeme yaptı. 25 Kasım'da Zoom ve Slack dahil onlarca etkilenen uygulamaya yönelik toplu özel bildirim yapıldı. 16 Aralık'ta, Google'a bildirilmesinden 134 gün sonra kamuya açıklandı.

Arka plan

• Truffle Security'nin Forager aracının beta testçilerinden biri, Microsoft OAuth açığından etkilenen bir girişi tespit edip açıklamıştı.
• Microsoft'un, Microsoft tarafından oluşturulmayan veya doğrulanmayan e-posta iddiaları göndermesi ve e-posta iddiasının kendisinin güvenilir olmaması şaşırtıcı bulundu.
• Google'ın OIDC belgelerinde, e-postayı kimlik tanımlayıcısı olarak kullanmaya karşı bir uyarı fark edildi.

Gmail dışı Google hesapları

• Gmail dışındaki mevcut bir e-posta adresi kullanılarak Google hesabı oluşturulabiliyor.
• Bu yeni Google hesapları Yahoo e-posta iddiaları gönderebiliyor.
• Google belgelerinin e-postayı birincil kimlik tanımlayıcısı olarak kullanmayın demesinin nedeni şu: ayarlarda Gmail dışı bir e-posta düzenlenirse ve daha sonra yeni bir hesap önceden düzenlenmiş bu e-posta ile oluşturulursa, iki farklı Google hesabı aynı e-posta iddiasını gönderebilir.

Sorunlu kısım

• Kurumsal Google organizasyonları üzerinden e-posta takma adları ve e-posta plus işareti yönlendirmesi kullanılarak Google hesapları oluşturulabiliyor.
• Bu e-posta adresleri birçok etkilenen organizasyonda ayrıştırılıyor ve e-postanın sonundaki alan adına bakılarak giriş izni verilip verilmeyeceğine karar veriliyor.
• Bu Gmail dışı Google hesapları aslında Google organizasyonunun üyesi olmadığından, yönetici ayarlarında veya kullanıcı Google listesinde görünmüyor.

Çözüm yolları

• Organizasyonlar, Google ile girişi devre dışı bırakıp SAML'i sıkı biçimde zorunlu kılarak kendilerini koruyabilir.
• Hizmet sağlayıcıların Google organizasyonu üyeliğini belirleme yöntemleri var, ancak hd claim'i Google organizasyonunun üyesi olmayan hesaplarda atlanıyor.
• Google, bu sorunu herkes için geniş kapsamda çözebilecek çeşitli adımlar atabilir.

Ek etkiler

• Organizasyonun Zoom ve Slack'ine başlangıçta erişim yetkisi olmasa bile erişim sağlanmasına yönelik teknik bir olasılık bulunuyor.
• Zendesk gibi belirli destek ve biletleme sistemleri üzerinden e-posta ile destek bileti oluşturulabiliyor ve bunun üzerinden Google hesabı oluşturularak OAuth ile giriş yapılabiliyor.

Son düşünceler

• Google'ın OAuth sistemindeki bu boşluk nedeniyle eski çalışanların Slack ve Zoom gibi platformlara erişmeye devam edebilmesi, basit bir gözden kaçırma değil ciddi bir güvenlik kusuru.
• Google'ın bu sorunu hafifletmek için geniş kapsamlı düzeltmeler uygulama kapasitesi var ve kamuya açıklamanın amacı gerçek bir değişimi teşvik etmek.
• Google sorunu hızlıca sınıflandırdı, ancak kendi 90 gün içinde çözüm sağlama en iyi uygulamasına uymadı; bu nedenle sorun 134. günde açıklandı.

GN⁺ görüşü

• Bu makale, Google OAuth sistemindeki bir açık nedeniyle işten ayrılan çalışanların şirketlerin kritik iletişim platformlarına erişmeye devam edebilmesine yol açan ciddi bir güvenlik sorununu ortaya koyuyor.
• Bu tür açıklar, şirketlerin iç bilgi güvenliği için büyük bir tehdit oluşturabilir ve hassas bilgilerin sızmasına yol açabilir.
• Google'ın bu konuda aktif adım atmaması, hem şirketler hem bireysel kullanıcılar için önemli bir güvenlik sorunu ortaya koyuyor; bu da siber güvenlik farkındalığını artırma ve güvenlik protokollerini güçlendirme gereğini vurguluyor.