Gli hacker hanno eluso la verifica email di Google, sfruttando la vulnerabilità per accedere a servizi terzi tramite Google Workspace.
Recentemente, Google ha risolto una vulnerabilità di autenticazione che permetteva ai malintenzionati di aggirare la verifica email necessaria per creare un account Google Workspace. Questa falla consentiva agli hacker di impersonare il proprietario di un dominio su servizi terzi che supportano il login tramite la funzione “Accedi con Google”.
Un lettore di KrebsOnSecurity ha riferito di aver ricevuto una notifica riguardante l’uso potenzialmente dannoso del suo indirizzo email per creare un account Workspace, che Google ha successivamente bloccato. La comunicazione ufficiale di Google affermava che in poche settimane era stata identificata una campagna di abuso in cui i malintenzionati aggiravano il passaggio di verifica email per creare account Google Workspace Verificati (EV) tramite una richiesta costruita ad hoc.
In risposta alle domande, Google ha dichiarato di aver risolto il problema entro 72 ore dalla scoperta e di aver implementato ulteriori misure di rilevamento per proteggere contro questo tipo di bypass dell’autenticazione in futuro. Secondo Anu Yamunan, direttore delle protezioni contro gli abusi e la sicurezza di Google Workspace, l’attività malevola è iniziata a fine giugno e ha coinvolto “qualche migliaio” di account Workspace creati senza la verifica del dominio.
Google Workspace offre una prova gratuita per accedere a servizi come Google Docs, ma altri servizi come Gmail sono disponibili solo per utenti Workspace che verificano il controllo del nome di dominio associato al loro indirizzo email. La vulnerabilità che Google ha corretto permetteva agli attaccanti di bypassare questo processo di validazione. Google ha sottolineato che nessuno dei domini interessati era precedentemente associato a account o servizi di Workspace.
Il metodo utilizzato dagli attaccanti consisteva nel creare una richiesta specifica per aggirare la verifica email durante il processo di registrazione. Questo è stato fatto utilizzando un indirizzo email per accedere e un altro email per verificare un token. Una volta verificata l’email, in alcuni casi, gli attaccanti sono riusciti ad accedere a servizi terzi utilizzando il Single Sign-On di Google.
Yamunan ha dichiarato che nessuno degli account Workspace potenzialmente dannosi è stato utilizzato per abusare dei servizi di Google. Tuttavia, gli attaccanti hanno cercato di impersonare il proprietario del dominio su altri servizi online. Nel caso del lettore che ha segnalato la violazione a Google, gli impostori hanno utilizzato il bypass dell’autenticazione per associare il suo dominio a un account Workspace. Questo dominio era collegato al suo login su diversi servizi terzi online. L’avviso ricevuto dal lettore indicava che l’account Workspace non autorizzato era stato utilizzato per accedere al suo account su Dropbox.
Google ha affermato che il bypass dell’autenticazione ora risolto non è collegato a un recente problema riguardante i nomi di dominio basati su criptovalute che sono stati apparentemente compromessi durante il loro transito verso Squarespace. Il 12 luglio, diversi domini legati a imprese di criptovalute sono stati dirottati da utenti di Squarespace che non avevano ancora configurato i loro account. Squarespace ha pubblicato una dichiarazione attribuendo i dirottamenti a una “debolezza relativa ai login OAuth”, problema che è stato risolto entro poche ore.