黑客利用现有电子邮件创建 Google Workspace 帐户并绕过验证流程后,数千个帐户遭到泄露。
据谷歌称,“特殊构造的请求”可以在不验证电子邮件的情况下打开 Workspace 帐户。这意味着不良行为者只需要他们想要的目标的电子邮件地址即可冒充他们。
虽然这些虚假帐户都没有被用来滥用 Gmail 或 Docs 等 Google 服务,但它们被用来通过“使用 Google 登录”功能访问第三方服务。
一位受影响的用户在网站上分享了他们的经历Google Cloud 社区论坛收到 Google 通知,有人在未经验证的情况下使用其电子邮件创建了 Workspace 帐户,然后用它登录 Dropbox。
谷歌发言人告诉 TechRepublic:“6 月下旬,我们迅速解决了影响一小部分电子邮件帐户的帐户滥用问题。我们正在进行彻底分析,但迄今为止尚未发现谷歌生态系统中存在其他滥用行为的证据。”
该验证缺陷仅限于“电子邮件已验证”工作区帐户,因此不会影响其他用户类型,例如“域已验证”帐户。
Google Workspace 滥用和安全保护总监 Anu Yamunan 表示克雷布斯谈安全该恶意活动于 6 月底开始,并检测到“数千个”未经验证的 Workspace 帐户。然而,对这个故事的评论者和黑客新闻声称袭击实际上是在六月初开始的
谷歌在发送给受影响电子邮件的消息中表示,它在发现漏洞后 72 小时内修复了该漏洞,并添加了“额外检测”流程,以确保该漏洞不会重复发生。
注册 Google Workspace 帐号的个人可以免费试用有限数量的服务,例如文档。除非他们验证提供完整工作区访问权限的电子邮件地址,否则此试用将在 14 天后结束。
然而,该漏洞允许不良行为者在未经验证的情况下获得对全套套件的访问权限,包括 Gmail 和依赖于域的服务。
“这里的策略是由不良行为者创建一个专门构造的请求,以在注册过程中绕过电子邮件验证,”亚穆南告诉克雷布斯安全。 “这里的向量是他们会使用一个电子邮件地址来尝试登录,并使用一个完全不同的电子邮件地址来验证令牌。
“一旦他们通过电子邮件验证,在某些情况下,我们发现他们使用 Google 单点登录访问第三方服务。”
Google 部署的修复程序可防止恶意用户重复使用为一个电子邮件地址生成的令牌来验证其他地址。
受影响的用户批评了谷歌提供的试用期,称那些尝试使用带有自定义域的电子邮件地址开设 Workspace 帐户的用户在验证其域所有权之前不应拥有任何访问权限。
看:
这并不是 Google Workspace 在过去一年中第一次遭遇安全事件。
12 月,网络安全研究人员发现,这可能会让攻击者利用权限升级来获得超级管理员访问权限。然而,一位匿名的谷歌代表告诉黑客新闻它并不代表“我们产品中的潜在安全问题”。
11 月,一份来自比特卫士披露了 Workspace 中与 Windows 版 Google Credential Provider 有关的多个漏洞,这些漏洞可能导致勒索软件攻击、数据泄露和密码盗窃。谷歌再次对这些发现提出异议,并告诉研究人员,它没有计划解决这些问题,因为它们超出了其特定的威胁模型。