نقص امنیتی Google Workspace هزاران حساب کاربری را در معرض هکرها قرار داد

در حالی که جهان با قطعی اخیر CrowdStrike به دلیل یک به‌روزرسانی ناقص دست و پنجه نرم می‌کند، گوگل نیز اخیراً با یک مشکل امنیتی جدی در حساب‌های Workspace خود روبرو شده است. Google Workspace به کسب‌وکارها امکان می‌دهد تا با استفاده از نام دامنه شرکت خود، مانند alex@companydomain.com، آدرس‌های ایمیل حرفه‌ای ایجاد کنند. کسب‌وکارها همچنین می‌توانند به گوگل درایو، تقویم‌ جیمیل، گوگل میت و سایر خدمات از طریق حساب Google Workspace دسترسی پیدا کنند.

گوگل به تازگی متوجه شده که هکرها می‌توانند از سیستم تأیید ایمیل که برای ایجاد یک حساب Google Workspace ضروری است، دوری کنند. به عنوان مثال، اگر می‌خواهید یک حساب Google Workspace برای alex@microsoft.com ایجاد کنید، باید ابتدا تأیید کنید که آدرس ایمیل متعلق به شماست. با این حال، هکرها توانسته‌اند این الزام اساسی را دور بزنند. بدتر از همه، حساب Google Workspace ایجاد شده می‌تواند برای استفاده در سرویس‌های شخص ثالث که از “Sign in with Google” به عنوان مکانیزم ورود استفاده می‌کنند، به کار رود. گوگل در ایمیلی به کاربران آسیب‌دیده اعلام کرد:

در چند هفته اخیر، یک کمپین سوءاستفاده محدود را شناسایی کرده است که طی آن، مهاجمان مرحله تأیید ایمیل را هنگام ایجاد حساب‌های Google Workspace تأیید شده ایمیل (EV) با استفاده از یک درخواست خاص دور زده‌اند. این امکان را به کاربران EV می‌دهد تا از طریق ‘Sign in with Google’ به برنامه‌های شخص ثالث دسترسی پیدا کنند.

گوگل به KrebsOnSecurity گفته است که این مشکل از اواخر ژوئن شروع شده و تعدادی از حساب‌های Workspace را تحت تأثیر قرار داده است، و آنها این مشکل را در عرض 72 ساعت پس از شناسایی برطرف کرده‌اند. گوگل همچنین افزوده است که برای جلوگیری از این نوع دور زدن‌های احراز هویت، تدابیر تشخیصی اضافی اتخاذ کرده است.

نظرات کاربران Google Workspace در Hacker News و بخش نظرات امنیتی Krebs داستانی متفاوتی را روایت می‌کنند. به نظر می‌رسد که مشکل دور زدن تأیید ایمیل بیش از یک ماه است که ادامه دارد. یکی از کاربران در تاریخ 6 ژوئن تحت تأثیر این مشکل قرار گرفته، که با ادعای گوگل مبنی بر اینکه مشکل در اواخر ژوئن رخ داده، مطابقت ندارد. نظردهنده‌ای به نام دیوید کیتون مدعی است که در سال 2012 و دوباره در ژوئیه 2023 با مشکل مشابهی مواجه شده است. نظر دهنده دیگری استدلال می‌کند که او این مشکل را در 7 ژوئن به گوگل گزارش داده است.

عدم شفافیت گوگل در مورد جدول زمانی و دامنه کامل نقص امنیتی Workspace نگرانی‌هایی را ایجاد می‌کند. افشای شفاف و دقیق به صورت عمومی، از جمله اقدامات پیشگیرانه‌ای که برای جلوگیری از تخلفات آینده انجام شده، رویکردی مسئولانه‌تر خواهد بود. علاوه بر این، تأیید این موضوع از طریق یک پست وبلاگ رسمی، تعهد به شفافیت و اعتماد کاربران را نشان می‌دهد.