当全世界都在为最近由错误更新导致的CrowdStrike 故障而感到震惊时,Google最近又面临着一个与 Workspace 账户有关的重大安全问题。Google Workspace 主要服务于企业,允许其使用公司域名创建自己的电子邮局,如[email protected],企业还可以通过 Google Workspace 账户访问 Google Drive、Gmail 日历、Google Meet 等。
Google最近发现,黑客能够绕过创建Google工作空间账户所需的电子邮件验证系统。例如,如果你想创建一个[email protected] 的 Google Workspace 账户,首先需要验证电子邮件地址是否属于你。然而,黑客绕过了这一基本要求。更糟糕的是,创建的 Google Workspace 帐户可以在允许使用"用 Google 登录"作为登录机制的第三方服务中使用。
Google通过电子邮件向受影响的用户发送了以下声明:
"在过去几周里,我们发现了一个小规模的滥用活动,不良分子通过使用特殊构建的请求,规避了电子邮件验证(EV)Google Workspace 账户创建流程中的电子邮件验证步骤。然后,这些 EV 用户可以使用'Sign In with Google'访问第三方应用程序。"
Google透露,该问题始于 6 月下旬,影响了"几千个"Workspace 账户,他们在发现问题后 72 小时内就修复了该问题,并增加了额外的检测机制,以防止此类身份验证绕过。
黑客是如何绕过 Google Workspace 账户的电子邮件验证的:
Google提供免费的 Workspace 试用账户,允许用户试用Google文档等服务。
不过,要创建一个拥有 Gmail 和依赖于域的服务的 Workspace 账户,则需要进行电子邮件验证。
黑客在注册过程中创建了一个专门构建的请求,以规避电子邮件验证。
黑客会使用一个电子邮件地址尝试登录,并使用完全不同的电子邮件地址验证令牌。
一旦他们的电子邮件通过验证,在某些情况下,我们会看到他们使用Google单点登录访问第三方服务。
在Hacker News和 Krebs on Security 的评论区,不同的 Google Workspace 账户持有者发表了不同的评论。看起来,电子邮件验证绕过问题已经持续了一个多月。
一位用户在 6 月 6 日受到了该问题的影响,这并不是Google所说的 6 月下旬。一位名叫大卫-基顿(David Keaton)的评论者称,他在 2012 年和 2023 年 7 月都遇到过类似的问题。另一位评论者称,他也是在 6 月 7 日向Google报告了这个问题;请阅读下面他的真实评论:
"Google所说的根本不是事实。攻击大约从 6 月初开始。我是当时的受害者之一。更有甚者,我有一个 6 月 7 日的 buganizer 票号,上面有最初的发现。大约一个月后才被修复。"
Google对 Workspace 安全漏洞的时间表和全部程度缺乏透明度,这一点令人担忧。更负责任的做法是明确而详细地公开披露信息,包括为防止未来漏洞而采取的积极措施。此外,通过正式的博客文章来承认这一问题,也将表明Google对透明度和用户信任的承诺。