在安全公告中谷歌承认黑客能够创建绕过 Workspace 账户所需的电子邮件验证系统,正常情况下用户想要在企业 / 组织内创建账户需要先验证自己的电子邮件,验证完成后才能创建归属于该企业 / 组织的 Workspace 账户。
黑客通过特制的请求绕过了验证系统成功创建 Workspace 账户,然后可以使用该账户作为 SSO 单点登录账户访问企业使用的其他服务,包括 Google Drive 等,也就是企业数据可能遭到了泄露。
谷歌在发送给受影响企业的邮件中表示:
在过去几周我们发现了一场小规模的滥用活动,其中不良行为者使用专门构建的请求绕过了我们的电子邮件验证步骤,这些用户可以利用谷歌登录访问第三方应用程序。
该问题始于 6 月底,影响了几千个 Workspace 账户,谷歌在发现问题后的 72 小时内就修复了问题,同时谷歌还添加了额外的检测功能防止此类身份验证被绕过。
然而在 HN 上不少用户抱怨谷歌在撒谎,其中一名用户至少在 6 月 6 日就受到了该问题的影响,而不是谷歌所说的 6 月底;另一名用户则表示自己在 2023 年 7 月就遇到了类似的问题。
还有一名用户在 6 月 7 日遇到这种情况后立即报告给了谷歌:
谷歌的说法根本不是事实,攻击始于 6 月初,我作为当时的受害者之一,我还有 6 月 7 日反馈该问题的工单号。
显然从用户说法来看谷歌完全在撒谎,作为企业级办公套件 Workspace 出现这种问题本身不应该,但更大的问题在于谷歌似乎没有重视普通用户的报告,而是当有安全研究团队报告相同的问题后谷歌才开始修复。
考虑到这个漏洞已经持续这么长的时间,受影响的客户可能远远不只是几千个,所以现在不少用户对谷歌的透明度产生了怀疑,如此重大的安全问题理应及时、完整的披露详情,当然也不应该忽视用户的报告。