«Iniciar sesión con Google»: la herramienta de autenticación rápida revela datos de empresas fantasma.
Cómo una vulnerabilidad «irreparable» puede acabar con la industria de las startups.
Una vulnerabilidad en el sistema de autenticación «Sign in with Google» dejó a millones de estadounidenses en riesgo de robo de datos. El problema afecta principalmente a ex empleados de startups, especialmente aquellos que ya han cesado sus actividades.
La empresa Truffle Security determinó que la causa de la vulnerabilidad está relacionada con cómo Google OAuth maneja los cambios en los propietarios de dominios. Al cerrar una startup, su dominio queda disponible para la compra. El nuevo propietario puede recrear los buzones de correo de los antiguos empleados, que, aunque no brindan acceso a datos antiguos, permiten iniciar sesión en varios servicios.
Un investigador de seguridad demostró el problema comprando el dominio de una startup cerrada. Logró acceder a servicios como ChatGPT, Slack, Notion, Zoom, así como a sistemas de recursos humanos que contenían números de seguridad social, documentos fiscales y otros datos confidenciales.
La magnitud del problema es considerable. En los Estados Unidos, alrededor de 6 millones de personas trabajan en startups, de las cuales cerca del 90 % cierran, y la mitad utiliza Google Workspaces. El análisis de datos de Crunchbase reveló que más de 100,000 dominios de startups cerradas están disponibles para su compra. Esto genera un riesgo de fuga de datos de más de 10 millones de cuentas.
La vulnerabilidad está relacionada con cómo proveedores como Slack autentican a los usuarios. Utilizan dos parámetros de Google OAuth: HD (dominio) y email. Cuando cambia el propietario del dominio, estos parámetros permanecen sin cambios, otorgando acceso a los nuevos propietarios.
La solución al problema podría ser la implementación por parte de Google de dos identificadores inmutables en OpenID Connect (OIDC): un identificador único de usuario y un identificador de espacio de trabajo. Sin embargo, a pesar de la notificación del investigador, Google inicialmente se negó a corregir la vulnerabilidad, calificándola como «no solucionable». Solo después de una amplia divulgación, la empresa reanudó la revisión del caso.
Aún no se ha propuesto una solución completa, y proveedores como Slack no pueden resolverla por sí solos. La vulnerabilidad destaca la necesidad de fortalecer los sistemas de autenticación y de revisar los enfoques de seguridad en un contexto de creciente dependencia de los servicios en la nube.
Las huellas digitales son tu debilidad, y los hackers lo saben