Podeu adquirir noms de domini de Google Workspace caducats i accedir als serveis de tercers connectats amb les credencials de Google.

No és cap secret que moltes startups acaben tancant-se al cap de pocs anys d’haver-se fundat perquè les idees de negoci no acaben de quallar o perquè els seus cofundadors acaben fonent-se tots els diners dels inversors. 

Algunes acaben al cementiri de les empreses emergents sense pena ni glòria i d’altres s’enfronten a situacions com ara el concurs de creditors exprés, en el cas d’Espanya. 

En aquests processos és comú que molts comptes en línia dels exempleats d’aquestes companyies no es protegeixin convenientment. 

Ara s’ha descobert que milions de comptes de Slack, ChatGPT, Zoom i altres proveïdors de serveis en línia poden ser controlades sense necessitat d’una contrasenya fent servir la funció d’inici de sessió única de Google que ve amb Google Workspace. 

Això ho va posar de manifest l’investigador de seguretat Dylan Arrey a la conferència de pirates informàtics ShmooCon, celebrada l’11 de gener passat a Washington.

L’expert també ha denunciat que hi ha altres comptes que poden ser vulnerables, com els d’Asana, Gusto, Notion o Cloudflare. Però això seria el començament, ja que poden comprometre’s moltes més dades de serveis en línia.

El problema principal és que els comptes de Workspace de molts empleats d’aquestes startups que van tancar van caducar i els seus noms de domini van passar a estar disponibles per a la venda.

Si una empresa fallida i un registre de domini expira, qualsevol podria aconseguir-lo, inscriure’s a Google Workspace usant aquest nom de domini i posteriorment iniciar sessió amb Google per crear nous comptes en línia. 

No obstant això, en lloc de crear comptes nous els serveis de tercers de vegades connectarien a comptes existents ja generats per antics treballadors dels propietaris d’aquests dominis. 

Ayrey va buscar a CrunchBase una llista de noms de domini vençuts que havien pertangut a startups que van fer fallida. En va trobar 116.481 i va publicar un llibre a Amazon que en contenia 10.000, cadascun amb un nom, una ubicació i una breu descripció.

«El més revelador probablement van ser els sistemes de RH, que permetien iniciar sessió i veure els formularis W-2, els números d’assegurança social i els números de ruta bancària dels antics empleats», explicava l’investigador al congrés. 

Possibles riscos

Un pirata informàtic hàbil podria iniciar sessió a Slack i accedir a missatges directes, canals privats, etc. O accedir als registres de Zoom per veure amb quins contactes externs es va reunir una d’aquestes startups que van abaixar la persiana.

No obstant això, en cap moment no es comprometrien les dades que posseeix Google d’eines com Gmail, Google Drive, Google Calendar o Google Docs.

La vulnerabilitat es donaria als serveis de tercers que accepten inicis de sessió mitjançant Iniciar sessió amb Google i només en aquells que usen la configuració 0Auth predeterminada o afegeixen factors d’autenticació addicionals, segons informa SCWworld.