استحضار الأرواح عند بدء التشغيل: يمكن للمالكين الجدد اختراق نطاقات Google Apps الميتة

تستخدم الكثير من الشركات الناشئة مجموعة الإنتاجية من Google، والمعروفة باسم Workspace، للتعامل مع البريد الإلكتروني والمستندات ومسائل المكتب الخلفي الأخرى. وعلى نحو متصل، تستخدم الكثير من تطبيقات الويب ذات التوجه التجاري تقنية OAuth من Google، أي “تسجيل الدخول باستخدام Google”. إنها عبارة عن حلقة ردود فعل منخفضة الاحتكاك – حتى فشل بدء التشغيل، ويتم عرض النطاق للبيع، وينسى شخص ما إغلاق جميع عناصر Google.

ديلان أيري، من شركة Truffle Security Co. يقترح في تقرير أن هذه المشكلة أكثر خطورة مما يعترف به أي شخص، وخاصة جوجل. ترتكب العديد من الشركات الناشئة خطأً فادحًا يتمثل في عدم إغلاق حساباتها بشكل صحيح – على كل من Google والتطبيقات الأخرى المستندة إلى الويب – قبل السماح بانتهاء صلاحية نطاقاتها.

بالنظر إلى عدد الأشخاص الذين يعملون في شركات ناشئة في مجال التكنولوجيا (6 ملايين)، ومعدل فشل الشركات الناشئة المذكورة (90 بالمائة)، واستخدامهم لمساحات عمل Google (50 بالمائة، كل ذلك وفقًا لأرقام أيري)، والسرعة التي تميل بها الشركات الناشئة إلى الانهيار ، هناك الكثير من النطاقات المرتبطة بمصادقة Google معروضة للبيع في أي وقت. لن تكون هذه مشكلة متأصلة، إلا أنه، كما يوضح أيري، فإن شراء نطاق بحساب Google لا يزال نشطًا يمكن أن يسمح لك بإعادة تنشيط حسابات Google للموظفين السابقين.

من خلال وصول المشرف إلى هذه الحسابات، يمكنك الدخول إلى العديد من الخدمات التي استخدموا فيها OAuth من Google لتسجيل الدخول، مثل أنظمة Slack وChatGPT وZoom وHR. يكتب أيري أنه اشترى نطاق بدء التشغيل البائد وتمكن من الوصول إلى كل واحد من هذه النطاقات من خلال عمليات تسجيل الدخول إلى حساب Google. وانتهى به الأمر بالحصول على المستندات الضريبية، وتفاصيل المقابلة الوظيفية، والرسائل المباشرة، من بين مواد حساسة أخرى.

يجب عليك إغلاق المتجر، وليس مجرد التخلي عنه

تم الوصول للتعليق، وقدم متحدث باسم Google بيانًا:

نحن نقدر مساعدة Dylan Ayrey في تحديد المخاطر الناجمة عن نسيان العملاء حذف خدمات SaaS التابعة لجهات خارجية كجزء من رفض تشغيلهم. وكأفضل الممارسات، نوصي العملاء بإغلاق النطاقات التالية بشكل صحيح هذه التعليمات لجعل هذا النوع من القضايا مستحيلا. بالإضافة إلى ذلك، نحن نشجع تطبيقات الطرف الثالث على اتباع أفضل الممارسات باستخدام معرفات الحساب الفريدة (الفرعية) للتخفيف من هذه المخاطر.

تشير تعليمات Google إلى أن إلغاء Google Workspace “لا يؤدي إلى إزالة حسابات المستخدمين”، والتي تظل حتى يتم حذف حساب Google الخاص بالمؤسسة.

والجدير بالذكر أن أساليب Ayrey لم تكن قادرة على الوصول إلى البيانات المخزنة داخل كل حساب Google مُعاد تنشيطه، ولكن على منصات خارجية. في حين أن حالات اختبار Ayrey وبياناتها تتعلق إلى حد كبير بالشركات الناشئة، فإن أي نطاق يستخدم حسابات Google Workspace للمصادقة مع خدمات الجهات الخارجية وفشل في حذف حساب Google الخاص به لإزالة رابط النطاق الخاص به قبل بيع النطاق يمكن أن يكون عرضة للخطر.