실패한 스타트업 직원들, 구글 로그인을 통한 개인 정보 도난 위험 증가
2025-01-20
보안 연구원이 파산한 스타트업 직원들이 오래된 구글 로그인을 통해 심각한 개인 정보 유출 위험에 직면해 있다는 것을 발견했습니다. 만료된 도메인을 확보함으로써 공격자는 'Google로 로그인' 기능을 이용하여 회사의 클라우드 소프트웨어에 접근하여 Slack 메시지, 사회 보장 번호, 은행 계좌 정보 등을 훔칠 수 있습니다. 구글의 OAuth 설정에는 보호 장치가 있지만, 일부 SaaS 제공업체의 부적절한 구현으로 인해 취약성이 악용될 수 있습니다. 수만 명의 전 직원과 수백만 개의 SaaS 계정이 위험에 처해 있습니다. 구글은 문서를 업데이트하여 기업에 클라우드 서비스를 제대로 종료하도록 조언했지만, 문제는 여전히 해결되지 않았습니다.
기술
구글 OAuth