کارمندان استارتاپ‌های شکست‌خورده در معرض خطر ویژه سرقت داده‌های شخصی از طریق ورودهای قدیمی گوگل هستند

اگرچه بیکاری پس از فروپاشی استارتاپی که در آن کار می‌کنید کافی نیست، اکنون یک محقق امنیتی نشان داده که کارمندان استارتاپ‌های شکست خورده با خطر ویژه‌ای از سرقت اطلاعات‌شان مواجه‌اند. این شامل پیام‌های خصوصی Slack و شماره‌های امنیت اجتماعی و حتی حساب‌های بانکی است.

محقق این مسئله، دیلان آیری، بنیان‌گذار و مدیر عامل استارتاپ تروفل سکیوریتی، است که از سوی آندرِسن هوروویتز حمایت می‌شود. آیری به خاطر پروژه متن باز محبوب TruffleHog که برای نظارت بر نشت داده‌ها طراحی شده، معروف است.

آیری همچنین در دنیای جستجوی باگ رو به پیشرفت است. او در کنفرانس امنیتی ShmooCon گزارشی درباره نقصی در OAuth گوگل، تکنولوژی مرتبط با "ورود با گوگل"، ارائه داد که افراد به جای رمز عبور می‌توانند از آن استفاده کنند.

آیری پس از گزارش آسیب‌پذیری به گوگل و دیگر شرکت‌های تحت تاثیر، جزئیات آن را به اشتراک گذاشت زیرا گوگل به شکارچیان باگ اجازه صحبت درباره یافته‌هایشان را می‌دهد. ( پروژه صفر گوگل که یک دهه پیش آغاز شد، غالباً نواقصی که در محصولات دیگر شرکت‌های بزرگ تکنولوژی مثل Microsoft Windows پیدا می‌کند را به نمایش می‌گذارد.)

او کشف کرد که اگر هکرهای مخرب دامنه‌های منقضی شده استارتاپی شکست خورده را بخرند، می‌توانند از آن‌ها برای ورود به نرم‌افزارهای ابری که به هر کارمند شرکت اجازه دسترسی می‌دهد، مانند چت یا برنامه ویدئو شرکت، استفاده کنند. از آنجا، بسیاری از این برنامه‌ها فهرست سازمانی یا صفحات اطلاعات کاربران ارائه می‌دهند که هکر می‌تواند ایمیل‌های واقعی کارمندان پیشین را کشف کند.

با دسترسی به دامنه و آن ایمیل‌ها، هکرها می‌توانند از گزینه "ورود با گوگل" برای دسترسی به بسیاری از برنامه‌های نرم‌افزار ابری استارتاپ استفاده کنند و اغلب ایمیل‌های بیش‌تری کشف کنند.

برای آزمایش نقصی که او پیدا کرده بود، آیری دامنه یک استارتاپ شکست‌خورده را خرید و توانست به ChatGPT، Slack، Notion، Zoom و یک سیستم منابع انسانی که شماره‌های امنیت اجتماعی را در بر داشت، وارد شود.

"این احتمالاً بزرگ‌ترین تهدید است" آیری به تک‌کرانچ گفت، زیرا داده‌های سیستم منابع انسانی ابری "به آسانی می‌توانند به پول تبدیل شوند، و شماره‌های امنیت اجتماعی و اطلاعات بانکی و هر چیز دیگری که در سیستم‌های منابع انسانی است احتمالاً به هدف بدل خواهند شد." او گفت که حساب‌های قدیمی جی‌میل یا گوگل داکس که توسط کارمندان ایجاد شده‌اند یا هر داده‌ای که با برنامه‌های گوگل ایجاد شده‌اند در خطر نیستند و گوگل این را تأیید کرد.

در حالی که هر شرکتی که دامنه قابل فروشی دارد ممکن است آسیب ببیند، کارکنان استارتاپ به خصوص آسیب‌پذیرند زیرا استارتاپ‌ها تمایل دارند که از برنامه‌های گوگل و مقدار زیادی نرم‌افزار ابری برای اجرای کسب‌وکارشان استفاده کنند.

آیری محاسبه می‌کند که ده‌ها هزار کارمند پیشین در معرض خطرند، به همراه میلیون‌ها حساب نرم‌افزار به عنوان خدمات (SaaS). این محاسبه بر اساس تحقیق او که نشان می‌دهد ۱۱۶،۰۰۰ دامنه وب‌سایت متعلق به استارتاپ‌های فناوری شکست‌خورده برای فروش موجود است.

پیشگیری ممکن است ولی کامل نیست

گوگل واقعاً تکنولوژی‌ای در پیکربندی OAuth خود دارد که باید خطرات مشخص شده توسط آیری را جلوگیری کند، در صورتی که ارائه‌دهنده نرم‌افزار ابری SaaS از آن استفاده کند. این به عنوان "شناسه فرعی" شناخته می‌شود، که مجموعه‌ای از اعداد منحصر به فرد برای هر حساب گوگل است. هرچند کارمند ممکن است چندین ایمیل به حساب گوگل معلق به کارشان پیوست داشته باشد، حساب باید یک شناسه فرعی داشته باشد.

اگر پیکربندی شود، هنگامی که کارمند به یک حساب نرم‌افزار ابری با استفاده از OAuth وارد می‌شود، گوگل هم آدرس ایمیل و هم شناسه فرعی را برای شناسایی شخص ارسال خواهد کرد. بنابراین، حتی اگر هکرها ایمیل‌ها را با کنترل دامنه بازسازی کنند، نباید قادر به بازسازی این شناسه‌ها باشند.

اما آیری، که با یکی از ارائه‌دهندگان منابع انسانی آسیب‌دیده SaaS کار می‌کرد، کشف کرد که این شناسه "نامعتبر" بود، یعنی ارائه‌دهنده منابع انسانی این را کشف کرد که در درصد بسیار کوچکی از موارد تغییر می‌کند: ۰٫۰۴ درصد. این ممکن است در نظر آماری نزدیک به صفر باشد، اما برای ارائه‌دهنده منابع انسانی که با تعداد زیادی از کاربران روزانه سر و کار دارد، این به صدها ورود ناموفق در هر هفته منجر می‌شود و کاربران را از حساب‌هایشان قفل می‌کند. به همین دلیل این ارائه‌دهنده ابری نمی‌خواست از شناسه فرعی گوگل استفاده کند، آیری گفت.

گوگل مورد اختلاف قرار داده که شناسه فرعی هرگز تغییر می‌کند. به دلیل اینکه این کشف از سوی ارائه‌دهنده منابع انسانی ابری، نه محقق، صورت گرفته بود، به عنوان بخشی از گزارش باگ به گوگل ارسال نشد. گوگل گفته که اگر هرگز شاهد شواهدی باشد که شناسه فرعی نامعتبر است، شرکت این مسئله را رفع خواهد کرد.

گوگل نظر خود را تغییر می‌دهد

اما گوگل هم‌چنین نظر خود را درباره اهمیت این مسئله تغییر داد. ابتدا، گوگل تماماً باگ آیری را رد کرد و بلافاصله بلیط را بست و گفت این یک مسئله "تقلب" است نه بلکه باگ. گوگل کاملاً اشتباه نمی‌کرد. این خطر از کنترل هکرها بر دامنه‌ها و استفاده نادرست از حساب‌های ایمیلی که از طریق آن‌ها بازسازی می‌کنند، ناشی می‌شود. آیری از تصمیم اولیه گوگل قضاوت نکرد و این را یک مسئله حریم خصوصی اطلاعات نامید که نرم‌افزار OAuth گوگل حتی در حالی که کاربران ممکن است آسیب ببینند، به درستی کار کرد. "این مسئله به این سادگی نیست, او گفت."

اما سه ماه بعد، درست پس از اینکه صحبت او توسط ShmooCon پذیرفته شد، گوگل نظر خود را تغییر داد، بلیط را باز کرد و به آیری پاداش ۱،۳۳۷ دلار پرداخت کرد. در سال ۲۰۲۱ هم اتفاقی مشابه برای او افتاد وقتی گوگل بلیط او را پس از اینکه او در کنفرانس بلک هَت در رابطه با یافته‌های خود یک سخنرانی محبوب داده بود، باز کرد. گوگل حتی به او و همکار خود در پیدا کردن باگ، الیسون دونووان جایزه سوم را در جوایز سالانه محقق امنیتی خود تعلق داد (همراه با ۷۳،۳۳۱ دلار) .

گوگل هنوز هیچ اصلاح تکنیکی برای نقص ارائه نکرده و همچنین زمانی برای زمانی که ممکن است ارائه دهد، اعلام نکرده است — و این مشخص نیست که گوگل آیا روزی تغییری تکنیکی برای به نحوی رسیدگی به این مسئله اعمال خواهد کرد یا خیر. با این حال، شرکت مستندات خود را به روز کرده است تا به ارائه‌دهندگان ابری توصیه کند از شناسه فرعی استفاده کنند. گوگل همچنین آموزش‌هایی به بنیان‌گذاران ارائه می‌دهد که چگونه شرکت‌ها باید به درستی گوگل ورک‌اسپیس را ببرند و از وقوع مسئله جلوگیری کنند.

در نهایت، گوگل می‌گوید، راه حل این است که بنیان‌گذاران در حال تعطیل کردن یک شرکت مطمئن شوند که تمام خدمات ابری خود را به درستی ببندند. "ما از کمک دیلان آیری در شناسایی خطرات ناشی از فراموشی مشتریان در حذف خدمات SaaS شخص ثالث به عنوان بخشی از تعطیل کردن عملیات خود قدردانی می‌کنیم،” سخنگو گفت.

آیری، که خود بنیان‌گذار است، درک می‌کند که چرا بسیاری از بنیان‌گذاران ممکن است اطمینان نداشته باشند که خدمات ابری آن‌ها غیر فعال شده است. بستن یک شرکت واقعاً یک فرایند پیچیده است که در زمان عاطفاً دردناک ممکن است صورت گیرد — شامل بسیاری از موارد، از دفع کامپیوترهای کارمندان تا بستن حساب‌های بانکی، پرداخت مالیات.

“هنگامی که بنیان‌گذار باید با تعطیل کردن شرکت سر و کار داشته باشد، احتمالاً در وضعیت ذهنی خوبی برای فکر کردن به همه چیزی که باید فکر کنند نیست،” آیری می‌گوید.