کارمندان استارتاپهای شکستخورده در معرض خطر ویژه سرقت دادههای شخصی از طریق ورودهای قدیمی گوگل هستند
اگرچه بیکاری پس از فروپاشی استارتاپی که در آن کار میکنید کافی نیست، اکنون یک محقق امنیتی نشان داده که کارمندان استارتاپهای شکست خورده با خطر ویژهای از سرقت اطلاعاتشان مواجهاند. این شامل پیامهای خصوصی Slack و شمارههای امنیت اجتماعی و حتی حسابهای بانکی است.
محقق این مسئله، دیلان آیری، بنیانگذار و مدیر عامل استارتاپ تروفل سکیوریتی، است که از سوی آندرِسن هوروویتز حمایت میشود. آیری به خاطر پروژه متن باز محبوب TruffleHog که برای نظارت بر نشت دادهها طراحی شده، معروف است.
آیری همچنین در دنیای جستجوی باگ رو به پیشرفت است. او در کنفرانس امنیتی ShmooCon گزارشی درباره نقصی در OAuth گوگل، تکنولوژی مرتبط با "ورود با گوگل"، ارائه داد که افراد به جای رمز عبور میتوانند از آن استفاده کنند.
آیری پس از گزارش آسیبپذیری به گوگل و دیگر شرکتهای تحت تاثیر، جزئیات آن را به اشتراک گذاشت زیرا گوگل به شکارچیان باگ اجازه صحبت درباره یافتههایشان را میدهد. ( پروژه صفر گوگل که یک دهه پیش آغاز شد، غالباً نواقصی که در محصولات دیگر شرکتهای بزرگ تکنولوژی مثل Microsoft Windows پیدا میکند را به نمایش میگذارد.)
او کشف کرد که اگر هکرهای مخرب دامنههای منقضی شده استارتاپی شکست خورده را بخرند، میتوانند از آنها برای ورود به نرمافزارهای ابری که به هر کارمند شرکت اجازه دسترسی میدهد، مانند چت یا برنامه ویدئو شرکت، استفاده کنند. از آنجا، بسیاری از این برنامهها فهرست سازمانی یا صفحات اطلاعات کاربران ارائه میدهند که هکر میتواند ایمیلهای واقعی کارمندان پیشین را کشف کند.
با دسترسی به دامنه و آن ایمیلها، هکرها میتوانند از گزینه "ورود با گوگل" برای دسترسی به بسیاری از برنامههای نرمافزار ابری استارتاپ استفاده کنند و اغلب ایمیلهای بیشتری کشف کنند.
برای آزمایش نقصی که او پیدا کرده بود، آیری دامنه یک استارتاپ شکستخورده را خرید و توانست به ChatGPT، Slack، Notion، Zoom و یک سیستم منابع انسانی که شمارههای امنیت اجتماعی را در بر داشت، وارد شود.
"این احتمالاً بزرگترین تهدید است" آیری به تککرانچ گفت، زیرا دادههای سیستم منابع انسانی ابری "به آسانی میتوانند به پول تبدیل شوند، و شمارههای امنیت اجتماعی و اطلاعات بانکی و هر چیز دیگری که در سیستمهای منابع انسانی است احتمالاً به هدف بدل خواهند شد." او گفت که حسابهای قدیمی جیمیل یا گوگل داکس که توسط کارمندان ایجاد شدهاند یا هر دادهای که با برنامههای گوگل ایجاد شدهاند در خطر نیستند و گوگل این را تأیید کرد.
در حالی که هر شرکتی که دامنه قابل فروشی دارد ممکن است آسیب ببیند، کارکنان استارتاپ به خصوص آسیبپذیرند زیرا استارتاپها تمایل دارند که از برنامههای گوگل و مقدار زیادی نرمافزار ابری برای اجرای کسبوکارشان استفاده کنند.
آیری محاسبه میکند که دهها هزار کارمند پیشین در معرض خطرند، به همراه میلیونها حساب نرمافزار به عنوان خدمات (SaaS). این محاسبه بر اساس تحقیق او که نشان میدهد ۱۱۶،۰۰۰ دامنه وبسایت متعلق به استارتاپهای فناوری شکستخورده برای فروش موجود است.
پیشگیری ممکن است ولی کامل نیست
گوگل واقعاً تکنولوژیای در پیکربندی OAuth خود دارد که باید خطرات مشخص شده توسط آیری را جلوگیری کند، در صورتی که ارائهدهنده نرمافزار ابری SaaS از آن استفاده کند. این به عنوان "شناسه فرعی" شناخته میشود، که مجموعهای از اعداد منحصر به فرد برای هر حساب گوگل است. هرچند کارمند ممکن است چندین ایمیل به حساب گوگل معلق به کارشان پیوست داشته باشد، حساب باید یک شناسه فرعی داشته باشد.
اگر پیکربندی شود، هنگامی که کارمند به یک حساب نرمافزار ابری با استفاده از OAuth وارد میشود، گوگل هم آدرس ایمیل و هم شناسه فرعی را برای شناسایی شخص ارسال خواهد کرد. بنابراین، حتی اگر هکرها ایمیلها را با کنترل دامنه بازسازی کنند، نباید قادر به بازسازی این شناسهها باشند.
اما آیری، که با یکی از ارائهدهندگان منابع انسانی آسیبدیده SaaS کار میکرد، کشف کرد که این شناسه "نامعتبر" بود، یعنی ارائهدهنده منابع انسانی این را کشف کرد که در درصد بسیار کوچکی از موارد تغییر میکند: ۰٫۰۴ درصد. این ممکن است در نظر آماری نزدیک به صفر باشد، اما برای ارائهدهنده منابع انسانی که با تعداد زیادی از کاربران روزانه سر و کار دارد، این به صدها ورود ناموفق در هر هفته منجر میشود و کاربران را از حسابهایشان قفل میکند. به همین دلیل این ارائهدهنده ابری نمیخواست از شناسه فرعی گوگل استفاده کند، آیری گفت.
گوگل مورد اختلاف قرار داده که شناسه فرعی هرگز تغییر میکند. به دلیل اینکه این کشف از سوی ارائهدهنده منابع انسانی ابری، نه محقق، صورت گرفته بود، به عنوان بخشی از گزارش باگ به گوگل ارسال نشد. گوگل گفته که اگر هرگز شاهد شواهدی باشد که شناسه فرعی نامعتبر است، شرکت این مسئله را رفع خواهد کرد.
گوگل نظر خود را تغییر میدهد
اما گوگل همچنین نظر خود را درباره اهمیت این مسئله تغییر داد. ابتدا، گوگل تماماً باگ آیری را رد کرد و بلافاصله بلیط را بست و گفت این یک مسئله "تقلب" است نه بلکه باگ. گوگل کاملاً اشتباه نمیکرد. این خطر از کنترل هکرها بر دامنهها و استفاده نادرست از حسابهای ایمیلی که از طریق آنها بازسازی میکنند، ناشی میشود. آیری از تصمیم اولیه گوگل قضاوت نکرد و این را یک مسئله حریم خصوصی اطلاعات نامید که نرمافزار OAuth گوگل حتی در حالی که کاربران ممکن است آسیب ببینند، به درستی کار کرد. "این مسئله به این سادگی نیست, او گفت."
اما سه ماه بعد، درست پس از اینکه صحبت او توسط ShmooCon پذیرفته شد، گوگل نظر خود را تغییر داد، بلیط را باز کرد و به آیری پاداش ۱،۳۳۷ دلار پرداخت کرد. در سال ۲۰۲۱ هم اتفاقی مشابه برای او افتاد وقتی گوگل بلیط او را پس از اینکه او در کنفرانس بلک هَت در رابطه با یافتههای خود یک سخنرانی محبوب داده بود، باز کرد. گوگل حتی به او و همکار خود در پیدا کردن باگ، الیسون دونووان جایزه سوم را در جوایز سالانه محقق امنیتی خود تعلق داد (همراه با ۷۳،۳۳۱ دلار) .
گوگل هنوز هیچ اصلاح تکنیکی برای نقص ارائه نکرده و همچنین زمانی برای زمانی که ممکن است ارائه دهد، اعلام نکرده است — و این مشخص نیست که گوگل آیا روزی تغییری تکنیکی برای به نحوی رسیدگی به این مسئله اعمال خواهد کرد یا خیر. با این حال، شرکت مستندات خود را به روز کرده است تا به ارائهدهندگان ابری توصیه کند از شناسه فرعی استفاده کنند. گوگل همچنین آموزشهایی به بنیانگذاران ارائه میدهد که چگونه شرکتها باید به درستی گوگل ورکاسپیس را ببرند و از وقوع مسئله جلوگیری کنند.
در نهایت، گوگل میگوید، راه حل این است که بنیانگذاران در حال تعطیل کردن یک شرکت مطمئن شوند که تمام خدمات ابری خود را به درستی ببندند. "ما از کمک دیلان آیری در شناسایی خطرات ناشی از فراموشی مشتریان در حذف خدمات SaaS شخص ثالث به عنوان بخشی از تعطیل کردن عملیات خود قدردانی میکنیم،” سخنگو گفت.
آیری، که خود بنیانگذار است، درک میکند که چرا بسیاری از بنیانگذاران ممکن است اطمینان نداشته باشند که خدمات ابری آنها غیر فعال شده است. بستن یک شرکت واقعاً یک فرایند پیچیده است که در زمان عاطفاً دردناک ممکن است صورت گیرد — شامل بسیاری از موارد، از دفع کامپیوترهای کارمندان تا بستن حسابهای بانکی، پرداخت مالیات.
“هنگامی که بنیانگذار باید با تعطیل کردن شرکت سر و کار داشته باشد، احتمالاً در وضعیت ذهنی خوبی برای فکر کردن به همه چیزی که باید فکر کنند نیست،” آیری میگوید.
