失败的初创公司员工通过旧的Google登录处有被盗个人数据的特殊风险

仿佛在您工作崩溃的创业公司时失业还不够糟糕，现在安全研究人员发现，失败的创业公司的员工特别有被盗数据的风险。从他们的私人松弛消息到社会保险号码以及可能是银行帐户。

发现该问题的研究人员是Andreessen Horowitz支持的初创公司松露安全的联合创始人兼首席执行官Dylan Ayrey。 Ayrey最著名的是流行的开源Project Trufflehog的创建者，它有助于注意数据泄漏，如果坏人获得身份登录工具（即API键，密码和令牌）。

艾里（Ayrey）也是狩猎世界中的新星。上周，在Security Conference Shmoocon上，他就与Google Oauth发现的缺陷进行了演讲，这是“与Google签约”背后的技术，人们可以使用该缺陷代替密码。 

Ayrey在报告了Google和Oth的脆弱性后发表了演讲可能会受到影响并能够分享其细节的ER公司，因为Google不禁止其猎人谈论他们的发现。 （例如，Google十年历史的项目零项目经常展示其在Microsoft Windows（例如Microsoft Windows）中发现的缺陷。）

他发现，如果恶意黑客购买了失败的启动域的已停产域，他们可以使用它们登录到配置的云软件，以允许公司中的每个员工都可以访问，例如公司聊天或视频应用程序。从那里开始，其中许多应用程序提供了公司目录或用户信息页面，黑客可以在其中发现前员工的实际电子邮件。 

手持域名和这些电子邮件，黑客可以使用“使用Google登录”选项访问许多创业公司的云软件应用程序，通常会找到更多的员工电子邮件。

要测试他发现的缺陷，艾里（Ayrey）购买了一个失败的启动域，从中可以登录CHATGPT，SLACK，INSION，ZOOM和一个包含社会安全号码的人力资源系统。 

“这可能是最大的威胁，” Ayrey告诉TechCrunch，因为云HR系统的数据是“他们最容易获利的货币货币，社会安全号码和银行信息以及人力资源系统中的其他内容可能很可能是针对目标的”。他说，由员工创建的旧Gmail帐户或Google文档或使用Google应用程序创建的任何数据都没有风险，Google已确认。

虽然任何有待售领域的失败公司都可能会成为猎物，但启动员工特别容易受到伤害，因为启动倾向于使用Google的应用程序和大量的云软件来经营其业务。

艾里（Ayrey）计算出，成千上万的前员工处于危险之中，数百万的SaaS软件帐户。这是基于他的研究，发现目前有116,000个网站域可从技术创业公司出售。

Google实际上确实具有其OAuth配置中的技术，如果SaaS云提供商使用它，则应该防止Ayrey概述的风险。它称为“子标识符”，这是每个Google帐户独有的一系列数字。虽然员工可能在其工作的Google帐户上附上多个电子邮件地址，但该帐户应该只有一个子标识符。 

如果配置，当员工使用Oauth登录到云软件帐户时，Google将同时发送电子邮件地址和子身份证以识别该人。因此，即使恶意黑客通过控制域的控制重新创建了电子邮件地址，他们也应该重新创建这些标识符。

但是，与一个受影响的SaaS人力资源提供商合作的Ayrey发现，该标识符“不可靠”，这意味着人力资源提供商发现它在很小一部分的情况下发生了变化：0.04％。那可能是统计接近零，但是对于人力资源提供商处理大量日常用户，它每周总计数百个失败的登录名，将人们拒之门外。这就是为什么这个云提供商不想使用Google的子身份。

Google提出了子标识符发生变化的质疑。由于这一发现来自人力资源云提供商，而不是研究人员，因此它不是作为错误报告的一部分提交给Google的。 Google说，如果它看到子标识符不可靠的证据，该公司将解决该问题。

但Google也对这个问题的重要性大不相同。起初，Google完全驳回了Ayrey的错误，立即关闭了票，并说这不是一个错误，而是“欺诈”问题。 Google并没有完全错。这种风险来自控制域的黑客，并滥用通过它们重新创建的电子邮件帐户。 Ayrey并没有对Google的初步决定表示赞赏，称此决定为数据隐私即使用户仍然可能受到伤害，Google的OAuth软件也可以按预期运行。他说：“那不是割伤和干燥。”

但是三个月后，在他的谈话被Shmoocon接受后，Google改变了主意，重新打开了票，并向Ayrey支付了1,337美元的赏金。 2021年，当Google在网络安全会议Black Hat上发表了一个非常受欢迎的演讲后，他在2021年重新开票时发生了类似的事情。 Google甚至在其年度安全研究员奖中授予了Ayrey和他的漏洞调查合伙人Allison Donovan第三奖（以及73,331美元）。

Google尚未为漏洞发布技术修复程序，也没有何时发布时间表 - 尚不清楚Google是否会以某种方式解决此问题的技术更改。但是，该公司已更新其文档，以告诉云提供商使用子标识符。 Google还向创始人提供了有关公司应如何正确关闭Google Workspac的说明E并防止问题。 

最终，Google说，该修复程序是为创始人关闭公司以确保其正确关闭所有云服务的创始人。发言人说：“我们感谢迪伦·艾里（Dylan Ayrey）的帮助，以确定客户忘记删除第三方SaaS服务的风险。”

创始人本人艾里（Ayrey）了解为什么许多创始人可能没有确保他们的云服务被禁用。关闭公司实际上是一个在情感上痛苦的时期内完成的复杂过程 - 从处置员工计算机到关闭银行帐户，再到缴税。

“当创始人必须处理关闭公司时，他们可能并不是一个很好的头部空间来思考他们需要思考的所有事情。” Ayrey说。