谷歌OAuth安全漏洞:已注销的创业公司域名可能被利用
2025-01-15
一名安全研究员发现,许多创业公司在关闭谷歌Workspace账户时未能正确注销,导致其域名被出售后,新域名所有者可以重新激活旧员工的谷歌账户。这使得攻击者能够访问这些员工通过谷歌OAuth登录的第三方服务,例如Slack、ChatGPT和Zoom等,获取敏感数据。谷歌最初回应称这不是漏洞,但在安全研究员在Shmoocon大会上公开此问题后,谷歌重新评估了该问题,并支付了赏金。此事件突显了创业公司在关闭运营时妥善处理谷歌账户的必要性,以及OAuth安全机制中存在的潜在风险。
科技