У сервиса Google нашли критическую уязвимость при аутентификации

Этот недостаток позволял злоумышленникам создавать аккаунты Google Workspace без надлежащей проверки электронной почты, что способствовало несанкционированному доступу к сторонним сервисам с помощью функции «Войти с Google».

Ану Ямунан, директор по защите от злоупотреблений и безопасности в Google Workspace, объяснил, что злоумышленники использовали лазейку, составляя специальные запросы, чтобы обойти процесс проверки. Они использовали один адрес электронной почты для регистрации, а другой — для проверки токена, получая таким образом несанкционированный доступ. Хотя эти вредоносные аккаунты не злоупотребляли услугами Google напрямую, они использовались для выдачи себя за владельцев доменов на других платформах.