У сервісі Google знайшли критичну вразливість під час аутентифікації

Нещодавно Google усунула суттєву вразливість у своєму сервісі Workspace, яка дозволяла зловмисникам обходити перевірку електронної пошти та видавати себе за власників доменів.

Цей недолік дозволяв зловмисникам створювати облікові записи Google Workspace без належної перевірки електронної пошти, що сприяло несанкціонованому доступу до сторонніх сервісів за допомогою функції «Увійти з Google».

Ану Ямунан, директор із захисту від зловживань та безпеки в Google Workspace, пояснив, що зловмисники використовували лазівку, складаючи спеціальні запити, щоб уникнути процесу перевірки. Вони використовували одну адресу електронної пошти для реєстрації, а іншу для перевірки токена, отримуючи таким чином несанкціонований доступ.

Хоча ці шкідливі облікові записи не зловживали послугами Google безпосередньо, вони використовувалися для видачі себе за власників доменів на інших платформах.