Наука и технологии1 мин.

У сервиса Google нашли критическую уязвимость при аутентификации

Ее исправили
Недавно Google устранила существенную уязвимость в своем сервисе Workspace, которая позволяла злоумышленникам обходить проверку электронной почты и выдавать себя за владельцев доменов.

Этот недостаток позволял злоумышленникам создавать аккаунты Google Workspace без надлежащей проверки электронной почты, что способствовало несанкционированному доступу к сторонним сервисам с помощью функции «Войти с Google».

Ану Ямунан, директор по защите от злоупотреблений и безопасности в Google Workspace, объяснил, что злоумышленники использовали лазейку, составляя специальные запросы, чтобы обойти процесс проверки. Они использовали один адрес электронной почты для регистрации, а другой — для проверки токена, получая таким образом несанкционированный доступ. Хотя эти вредоносные аккаунты не злоупотребляли услугами Google напрямую, они использовались для выдачи себя за владельцев доменов на других платформах.

Источник:krebsonsecurity