Startup-Nekromantie: Inaktive Google Apps-Domains können von neuen Besitzern kompromittiert werden
Ein Sicherheitsforscher hat eine kritische Schwachstelle entdeckt: Die unsachgemäße Schließung von Google Workspace-Konten lässt nicht mehr aktive Startup-Domains verwundbar. Neue Eigentümer können die Google-Konten ehemaliger Mitarbeiter reaktivieren und so Zugriff auf Drittanbieterdienste (Slack, ChatGPT, Zoom usw.) erhalten, die über Google OAuth aufgerufen wurden. Sensible Daten wie Steuerunterlagen und interne Kommunikation werden offengelegt. Google hat dies zunächst zurückgewiesen, aber nach dem Vortrag des Forschers auf der Shmoocon-Konferenz wurde das Problem neu bewertet und eine Belohnung ausgesetzt. Dies unterstreicht das Risiko unzureichender Kontenabschlussverfahren und potenzieller Schwachstellen in der OAuth-Authentifizierung.