Источник: https://manualmentor.com/theres-a-privacy-srik-when-using-sign-in-with-chogle-and-theres-no -fix-yet.html? Utm_source = rss & utm_medium = rss & utm_campaign = thets- A-privacy-rik-when-in-with-google-loogle-looge-an-teres-teres-fix-nhet
Вход в веб -сайт с использованием опции «Войти с Google» действительно удобен, до такой степени, что вы, возможно, уже использовали его сотни раз. Тем не менее, исследователи обнаружили, что использование этой функции в качестве сотрудника для бизнеса открывает вас для потенциальных нарушений конфиденциальности, и, что хуже всего, еще нет исправления для этого
Функция «Знак с Google» оставляет остатки от предыдущих доменных пользователей
Как сообщает Trufflesecurity, был обнаружен недостаток с системой Google OAuth. Это затрагивает любого, кто работал в компании, которая позволяет ее сотрудникам использовать вход в систему с Google »и выключить.
Вот проблема: когда вы сотрудник компании, и вы используете функцию «Войти с Google», чтобы войти в приложение, такое как Slack, с вашей бизнес -учетной записью, приложение получает две части данных: домен и электронная почта Адрес. Если приемник приложения обе эти части данных, оно позволяет пользователю войти в систему.
Часть «домена» — это доменное имя бизнеса, которое сообщает приложению, что вы являетесь сотрудником этой конкретной компании. Однако, если компания закрывает свои двери, вредоносный актер может взять на себя ответственность и взять на себя ответственность за неиспользованный домен. Если бизнес не «очистил» должным образом перед выключением, плохой актер может воссоздать адреса электронной почты сотрудника и использовать для входа в сторонние услуги.
К счастью, плохой агент не мог развлечь учетную запись Old Business Gmail и прочитать свои электронные письма, но трюфеатация обнаружила, что он может получить доступ к счетам бывшего сотрудника на CHATGPT, Slack, Noom, Zoom, HR Systems и многое другое. И хотя все эти учетные записи могут содержать конфиденциальные данные по Themelf, системы HR являются наиболее опасными, поскольку они содержат информацию, такую как номера социального страхования и банковские детали.
К сожалению, когда впервые сообщили об этом эксплойте, Google заставил компании на то, что он не исправил их данные. Однако, после того, как тройная безопасность продемонстрировала атаку во время Shmmoocon (которую вы можете увидеть в приведенном выше видео на отметке 5:34:00), Google снова изучает его.
В то же время, если вы использовали «Войдите с Google», работая с компанией, которая с тех пор закрылась, ваши данные могут быть уязвимыми. Следите за своими данными и будьте готовы исправить вещи, если вы заметите разрыв данных. И даже если вы никогда не используете удобную функцию входа во время работы, существует множество причин, по которым вы больше не должны использовать «войти в Google» на любом веб -сайте.
Больше на 24 Gadget - Review Mobile Products
Подпишитесь, чтобы получать последние записи по электронной почте.
