Fehler in Google OAuth: Daten von Mitarbeitern gescheiterter Start-ups gefährdet
Ein Sicherheitsforscher hat einen Fehler in Googles OAuth entdeckt, der Daten von Mitarbeitern ehemaliger Unternehmen gefährdet. Einen Fix gibt es bisher nicht.
Ein Sicherheitsforscher hat eine Lücke in Googles OAuth entdeckt, die die Daten von Ex-Mitarbeitern gescheiterter Startups gefährdet.
(Bild: peterschreiber.media/Shutterstock.com)
- Kathrin Stoll
Googles OAuth-Login gefährdet offenbar persönliche Daten der Ex-Mitarbeiter gescheiterter Start-ups, die Google Workspace nutzten. Das beschreibt der Mitgründer der IT-Sicherheitsfirma Truffle in einem Blogpost: Wer die Domain eines solchen Unternehmens kauft, kann mit Googles OAuth auf alte Mitarbeiter-Accounts bei im Google Workspace eingebundenen Diensten wie Slack, ChatGPT, Notion, Zoom oder Human-Resources-Plattformen zugreifen. Gerade bei HR-Plattformen sind oft sensible Daten hinterlegt. Dafür muss man offenbar nur den E-Mail-Account eines Ex-Mitarbeiters auf der Domain neu erstellen.
Der Zugriff auf die Plattformen ĂĽber Googles OAuth-Login funktioniert, weil der betreffende Dienst, beispielsweise Slack, beim Anmeldeversuch anhand spezifischer Identifikatoren entscheidet, ob die Anmeldung durchgefĂĽhrt wird oder nicht.
Es könnte also zum Beispiel die Regel gelten "Alle Accounts auf @gescheitertesStartup.de-können auf das Slack des gescheiterten Start-ups zugreifen". Ist das die einzige Regel, anhand der Slack den Login bestätigt oder ablehnt, kann ein neuer Domain-Inhaber mit der neu erstellten E-Mailadresse eines Ex-Mitarbeiters einfach auf alle Slack-Channels zugreifen, auf die der Mitarbeiter Zugriff hatte.
Lösungsvorschlag: eindeutige Identifikatoren
Das Problem ließe sich laut dem Blogpost lösen, wenn Google zwei unveränderliche, eindeutige Identifikatoren in die OpenID-Connect-Attribute seiner OAuth-Implementierung aufnähme: Eine einzigartige Nutzer-ID, die sich nie ändert und eine einzigartige, an die Domain gebundene Workspace-ID.
Auf die Meldung des Problems inklusive Lösungsvorschlag über Googles Security Vulnerability Disclosure Programm reagierte Google zunächst mit der Aussage, dass sie das Problem nicht lösen würden. Drei Monate später, am 19. Dezember 2024 öffnete Google das Ticket dann erneut und zahlte eine Bug Bounty an den Verfasser. Ein Fix steht derzeit allerdings noch aus.
Eine Handhabe, um ihre Daten gegen ein Ausnutzen der OAuth-LĂĽcke zu schĂĽtzen, haben laut dem Blogpost bis dahin weder die Anbieter der Plattformen noch die Ex-Mitarbeiter eines gescheiterten Unternehmens.
(kst)
