Mitarbeiter gescheiterter Startups sind durch alte Google-Logins besonders gefährdet
Ein Sicherheitsforscher hat eine kritische Schwachstelle entdeckt, die Mitarbeiter von insolventen Startups einem erheblichen Risiko von Datendiebstahl aussetzt. Durch den Erwerb abgelaufener Domains können Angreifer die Funktion "Mit Google anmelden" ausnutzen, um auf Cloud-Software des Unternehmens zuzugreifen und potenziell Slack-Nachrichten, Sozialversicherungsnummern und Bankdaten zu stehlen. Obwohl die OAuth-Konfiguration von Google Sicherheitsmaßnahmen enthält, lässt eine fehlerhafte Implementierung durch einige SaaS-Anbieter die Schwachstelle ausnutzbar. Zehntausende ehemaliger Mitarbeiter und Millionen von SaaS-Konten sind gefährdet. Google hat seine Dokumentation aktualisiert und Unternehmen geraten, ihre Cloud-Dienste ordnungsgemäß zu schließen, aber das Problem bleibt ungelöst.