Als ob es nicht schlimm genug wäre, Ihren Job zu verlieren, wenn das Startup, für das Sie arbeiten, zusammenbricht, hat ein Sicherheitsforscher jetzt herausgefunden, dass Mitarbeiter gescheiterter Startups besonders gefährdet sind, dass ihre Daten gestohlen werden. Dies reicht von privaten Slack-Nachrichten bis hin zu Sozialversicherungsnummern und möglicherweise Bankkonten.
Der Forscher, der das Problem entdeckt hat, ist Dylan Ayrey, Mitbegründer und CEO des von Andreessen Horowitz unterstützten Startups Truffle Security. Ayrey ist vor allem als Schöpfer des beliebten Open-Source-Projekts TruffleHog bekannt, das bei der Überwachung von Datenlecks hilft, für den Fall, dass Kriminelle sich Identitätsanmeldetools (d. h. API-Schlüssel, Passwörter und Tokens) verschaffen.
Ayrey ist auch ein aufstrebender Stern in der Welt der Insektenjagd. Letzte Woche um ShmooCon-SicherheitskonferenzEr hielt einen Vortrag über einen Fehler, den er in Google OAuth gefunden hatte, der Technologie hinter „Sign in with Google“, die Menschen anstelle von Passwörtern verwenden können.
Ayrey hielt seinen Vortrag, nachdem er Google und anderen möglicherweise betroffenen Unternehmen die Sicherheitslücke gemeldet hatte, und konnte die Details mitteilen, da Google seinen Bug-Jägern nicht verbietet, über ihre Ergebnisse zu sprechen. (Googles Project Zero, ein Jahrzehnt altEs zeigt beispielsweise häufig die Mängel an, die es in Produkten anderer Technologiegiganten wie Microsoft Windows findet.)
Er entdeckte, dass böswillige Hacker, wenn sie die nicht mehr existierenden Domains eines gescheiterten Startups kauften, diese nutzen könnten, um sich bei Cloud-Software anzumelden, die so konfiguriert ist, dass sie allen Mitarbeitern des Unternehmens Zugriff gewährt, beispielsweise auf den Unternehmenschat oder eine Video-App. Von dort aus bieten viele dieser Apps Unternehmensverzeichnisse oder Benutzerinformationsseiten an, auf denen der Hacker die echten E-Mails ehemaliger Mitarbeiter entdecken kann.
Ausgestattet mit der Domain und diesen E-Mails könnten Hacker mithilfe der Option „Mit Google anmelden“ auf viele Cloud-Softwareanwendungen des Startups zugreifen und dabei häufig weitere E-Mails von Mitarbeitern finden.
Um den von ihm gefundenen Fehler zu testen, kaufte Ayrey eine Domain von einem gescheiterten Startup und konnte sich von dort aus bei ChatGPT, Slack, Notion, Zoom und einem HR-System mit Sozialversicherungsnummern anmelden.
„Das ist wahrscheinlich die größte Bedrohung“, sagte Ayrey gegenüber TechCrunch, da Daten aus einem Cloud-HR-System „am einfachsten zu monetarisieren sind und Sozialversicherungsnummern, Bankinformationen und alles andere, was sich sonst noch in HR-Systemen befindet, wahrscheinlich sehr wahrscheinlich sind.“ ” ins Visier genommen werden. Er sagte, dass von Mitarbeitern erstellte alte Gmail- oder Google Docs-Konten oder mit Google-Apps erstellte Daten nicht gefährdet seien, und Google bestätigte dies.
Während jedes insolvente Unternehmen mit einer zum Verkauf stehenden Domain ein Opfer sein kann, sind Startup-Mitarbeiter besonders gefährdet, da Startups dazu neigen, Google-Apps und eine Menge Cloud-Software für die Führung ihrer Geschäfte zu verwenden.
Ayrey schätzt, dass Zehntausende ehemalige Mitarbeiter sowie Millionen von SaaS-Softwarekonten gefährdet sind. Dies basiert auf ihrer Untersuchung, bei der festgestellt wurde, dass derzeit 116.000 Website-Domains von gescheiterten Technologie-Startups zum Verkauf stehen.
Prävention möglich, aber nicht perfekt
Tatsächlich verfügt Google in seinem OAuth-Setup über eine Technologie, die die von Ayrey beschriebenen Risiken vermeiden sollte, wenn der SaaS-Cloud-Anbieter sie nutzt. Es handelt sich um eine sogenannte „Unterkennung“, bei der es sich um eine für jedes Google-Konto eindeutige Zahlenreihe handelt. Obwohl einem Mitarbeiter mehrere E-Mail-Adressen an sein Google-Geschäftskonto angehängt sein können, darf das Konto nur eine Unterkennung haben.
Wenn ein Mitarbeiter sich über OAuth bei einem Cloud-Softwarekonto anmeldet, sendet Google bei entsprechender Konfiguration die E-Mail-Adresse und die Unterkennung zur Identifizierung der Person. Selbst wenn böswillige Hacker domänenkontrollierte E-Mail-Adressen neu erstellen, sollten sie daher nicht in der Lage sein, diese Kennungen wiederherzustellen.
Aber Ayrey, der mit einem betroffenen HR-SaaS-Anbieter zusammenarbeitete, stellte fest, dass diese Kennung „nicht vertrauenswürdig“ war, wie er es ausdrückte, was bedeutet, dass der HR-Anbieter feststellte, dass sie sich in einem sehr kleinen Prozentsatz der Fälle geändert hatte: 0,04 %. Statistisch gesehen mag dieser Wert nahe bei Null liegen, aber für einen Personaldienstleister, der mit einer großen Anzahl täglicher Benutzer zu tun hat, bedeutet dies, dass es jede Woche Hunderte von fehlgeschlagenen Anmeldungen gibt, wodurch Personen von ihren Konten ausgeschlossen werden. Aus diesem Grund wollte dieser Cloud-Anbieter die Unterkennung von Google nicht verwenden, sagte Ayrey.
Google bestreitet, dass sich die Unterkennung jemals ändert. Da diese Entdeckung vom HR-Cloud-Anbieter und nicht vom Forscher stammte, wurde sie nicht als Teil des Fehlerberichts an Google gesendet. Google sagt, dass das Unternehmen das Problem beheben wird, wenn jemals Beweise dafür gefunden werden, dass die Unterkennung nicht vertrauenswürdig ist.
Google ändert seine Meinung
Aber auch Google hat seine Meinung über die Bedeutung dieses Themas geändert. Google wies Ayreys Fehler zunächst vollständig zurück, schloss das Ticket sofort und sagte, es handele sich nicht um einen Fehler, sondern um ein „Cheat“-Problem. Google hatte nicht ganz Unrecht. Dieses Risiko geht von Hackern aus, die Domänen kontrollieren und E-Mail-Konten missbrauchen, die sie über sie neu erstellen. Ayrey nahm Googles ursprüngliche Entscheidung nicht übel und nannte es ein Datenschutzproblem, bei dem die OAuth-Software von Google wie vorgesehen funktionierte, auch wenn Nutzer dennoch geschädigt werden könnten. „So einfach ist das nicht“, sagte er.
Doch drei Monate später, kurz nachdem sein Vortrag von ShmooCon angenommen wurde, änderte Google seine Meinung, öffnete das Ticket erneut und zahlte Ayrey eine Belohnung von 1.337 US-Dollar. Etwas Ähnliches passierte ihm im Jahr 2021, als Google sein Ticket erneut öffnete, nachdem er auf der Black Hat-Cybersicherheitskonferenz einen äußerst beliebten Vortrag über seine Ergebnisse gehalten hatte. Google verlieh Ayrey und seiner Partnerin Allison Donovan sogar den dritten Preis für ihre jährliche Sicherheit für Forscher Preise (zusammen mit 73.331 $).
Google hat noch keine technische Lösung für den Fehler herausgegeben und auch keinen Zeitplan, wann dieser auftreten wird – und es ist unklar, ob Google jemals eine technische Änderung vornehmen wird, um dieses Problem irgendwie zu beheben. Das Unternehmen hat jedoch seine aktualisiert Dokumentation um Cloud-Anbietern mitzuteilen, dass sie die Sub-ID verwenden sollen. Google bietet auch an Anweisungen an Gründer darüber, wie Unternehmen Google Workspace ordnungsgemäß herunterfahren und das Problem vermeiden sollten.
Laut Google besteht die Lösung letztendlich darin, dass Gründer ein Unternehmen schließen, um sicherzustellen, dass sie alle ihre Cloud-Dienste ordnungsgemäß schließen. „Wir schätzen die Hilfe von Dylan Ayrey bei der Identifizierung der Risiken, die dadurch entstehen, dass Kunden vergessen, sich im Zuge der Abmeldung von ihrem Betrieb von SaaS-Diensten Dritter abzumelden“, sagte der Sprecher.
Ayrey, selbst Gründer, versteht, warum viele Gründer möglicherweise nicht dafür gesorgt haben, dass ihre Cloud-Dienste eingestellt wurden. Die Schließung eines Unternehmens ist tatsächlich ein komplizierter Prozess, der in einer Zeit durchgeführt wird, die emotional schmerzhaft sein kann und viele Dinge umfasst, von der Entsorgung der Computer der Mitarbeiter über die Schließung von Bankkonten bis hin zur Zahlung von Steuern.
„Wenn der Gründer mit der Schließung des Unternehmens zu kämpfen hat, hat er wahrscheinlich nicht genug Freiraum, um über all die Dinge nachzudenken, über die er nachdenken muss“, sagt Ayrey.
