摘要: 本文指出,由于谷歌的“Sign in with Google”认证流程存在缺陷,数百万美国人的数据可能被窃取。问题源于谷歌的OAuth登录无法防止购买已关闭初创公司的域名并使用它来重新创建前员工的电子邮件账户。作者通过购买一个已关闭的域名并登录到各种服务,发现可以访问旧员工账户的敏感数据。文章分析了这一漏洞的规模,指出约有100,000个来自失败初创公司的域名可供购买。作者还提出了解决方案,即谷歌在其OpenID Connect (OIDC)声明中实施两个不可变的标识符:一个随时间不变的唯一用户ID和一个与域名相关的唯一工作空间ID。尽管谷歌最初拒绝修复这个问题,但后来重新开放了问题并承诺进行修复。文章还讨论了下游提供商可以采取的措施来减轻这种风险,以及如何减轻基于密码的重置接管的风险。
讨论: 上述内容讨论了一个关于OAuth身份验证系统中域名过期后被滥用的问题。讨论中,用户们提出了以下观点:有用户质疑这个问题是否是Google OAuth实现中的缺陷,认为域名的所有权是许多系统的真相来源,而过期域名可以被滥用。一些用户认为这是一个DNS依赖性的根本问题,因为域名可以过期并被新所有者注册,从而允许新所有者执行几乎任何旧所有者可以执行的操作。讨论中还提到了Google在处理这个问题时的态度和内部流程,以及其他身份提供者如Microsoft和Okta是否采取了缓解措施。有用户指出Google在Shmoocon会议接受演讲后重新开启了问题并支付了赏金,表明他们正在解决这个问题。
原文标题:Google’s OAuth login doesn’t protect against purchasing a failed startup domain
原文链接:https://trufflesecurity.com/blog/millions-at-risk-due-to-google-s-oauth-flaw
讨论链接:https://news.ycombinator.com/item?id=42699099