Fehlerquelle OAuth: Daten von Mitarbeitern gescheiterter Start-ups gefährdet

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Googles OAuth-Login gefährdet offenbar persönliche Daten der Ex-Mitarbeiter gescheiterter Start-ups, die Google Workspace nutzten. Das beschreibt der Mitgründer der IT-Sicherheitsfirma Truffle, Dylan Ayrey, in einem Blogpost: Wer die Domain eines solchen Unternehmens kauft, kann mit Googles OAuth auf alte Mitarbeiter-Accounts bei im Google Workspace eingebundenen Diensten wie Slack, ChatGPT, Notion, Zoom oder Human-Resources-Plattformen zugreifen – sofern seitens der Firma vergessen wurde, die Daten bei den jeweiligen Anbietern zu löschen. Gerade bei HR-Plattformen sind oft sensible Daten hinterlegt. Dafür muss man offenbar nur den E-Mail-Account eines Ex-Mitarbeiters auf der Domain neu erstellen.

Der Zugriff auf die Plattformen über Googles OAuth-Login funktioniert, weil der betreffende Dienst, beispielsweise Slack, beim Anmeldeversuch anhand spezifischer Identifikatoren entscheidet, ob die Anmeldung durchgeführt wird oder nicht.

Es könnte also zum Beispiel die Regel gelten "Alle Accounts auf @gescheitertesStartup.de-können auf das Slack des gescheiterten Start-ups zugreifen". Ist das die einzige Regel, anhand der Slack den Login bestätigt oder ablehnt, kann ein neuer Domain-Inhaber mit der neu erstellten E-Mailadresse eines Ex-Mitarbeiters einfach auf alle Slack-Channels zugreifen, auf die der Mitarbeiter Zugriff hatte.

Lösungsvorschlag: eindeutige Identifikatoren

Das Problem ließe sich laut dem Blogpost lösen, wenn Google zwei unveränderliche, eindeutige Identifikatoren in die OpenID-Connect-Attribute seiner OAuth-Implementierung aufnähme: Eine einzigartige Nutzer-ID, die sich nie ändert und eine einzigartige, an die Domain gebundene Workspace-ID.

Auf die Meldung des Problems inklusive Lösungsvorschlag über Googles Security Vulnerability Disclosure Programm reagierte Google zunächst mit der Aussage, dass sie die Issue nicht weiter verfolgen würden. Drei Monate später, am 19. Dezember 2024 öffnete Google das Ticket dann erneut und zahlte eine Bug Bounty an den Verfasser. Ein Fix steht derzeit allerdings noch aus.

Eine Handhabe, um ihre Daten in einem solchen Fall zu schützen, haben laut dem Blogpost bis dahin weder die Anbieter der Plattformen noch die Ex-Mitarbeiter eines gescheiterten Unternehmens. Ein Google-Sprecher schrieb in einer Email an heise online, dass man Ayreys Herausstellung der Risiken, die entstehen, wenn Kunden vergessen, Saas-Dienste von Drittanbietern zu löschen wenn sie ihren Betrieb einstellen, schätze. Man empfehle Kunden, ihre Domains bei Betriebseinstellung gemäß der Empfehlungen zu schließen. Zusätzlich empfehle man Drittanbietern, den sub-Identifier zu nutzen, um das Risiko minimieren.

(kst)