L’uso dei servizi online è diventato essenziale nella vita quotidiana e strumenti come Google OAuth hanno facilitato l’accesso a piattaforme di terze parti senza dover condividere le credenziali di accesso. Tuttavia, recenti ricerche hanno rivelato vulnerabilità che mettono a rischio la privacy degli utenti, specialmente in un contesto dove le startup e le piccole imprese sono sempre più soggette a fallimenti. Scopriamo i dettagli di questa problematica emergente.
Indice dei contenuti
Cosa comporta Google OAuth per gli utenti
Google OAuth è un protocollo di autorizzazione che consente agli utenti di accedere a numerosi servizi senza dover fornire direttamente le proprie credenziali. Gli utenti possono semplicemente utilizzare il proprio account Google per accedere a applicazioni come Slack, Zoom, Notion e molte altre, rendendo il processo di login più rapido e sicuro. Quando un utente seleziona l’opzione “Continua con Google”, viene reindirizzato ai server di Google, che gestiscono la verifica dell’identità ed il rilascio dei token di accesso.
Tuttavia, questa facilità d’uso nasconde potenziali insidie, come vivere in un ambiente digitale dove i dati possono facilmente essere compromessi. La natura decentralizzata dei servizi SaaS comporta vulnerabilità che possono essere sfruttate da malintenzionati per accedere a informazioni private e sensibili.
Il buco di sicurezza scoperto da Trufflesecurity
Recentemente, i ricercatori di Trufflesecurity hanno svelato una grave lacuna nel sistema di Google OAuth. Inizialmente, Google non aveva preso in considerazione le segnalazioni riguardanti problemi di sicurezza, ma dopo la presentazione di prove concrete da parte di Dylan Ayrey, CEO di Trufflesecurity, l’azienda di Mountain View ha deciso di premiare gli studiosi con oltre 1.300 dollari.
Il problema principale riguarda la possibilità per terzi di registrare nomi di dominio abbandonati. Ad esempio, una startup che ha chiuso i battenti può lasciare aperta la strada a chiunque desideri riacquistare il dominio di quell’azienda. Un aggressore, acquistando tali domini, può creare indirizzi email simili a quelli precedentemente utilizzati dai legittimi proprietari e accedere a piattaforme online congiuntamente a dati riservati, quali documenti fiscali e informazioni assicurative.
Trufflesecurity ha dimostrato che, accedendo a database come Crunchbase, si può ottenere un accesso non autorizzato a migliaia di account, rivelando un vasto insieme di dati personali di ex-dipendenti di aziende fallite.
Possibili soluzioni e misure di sicurezza
Il sistema OAuth di Google utilizza un identificatore denominato “sub” per ciascun utente, che dovrebbe essere unico e permanente. Tuttavia, molte applicazioni, come Slack e Notion, si affidano a dati facilmente modificabili, come l’indirizzo email o il dominio ospitato, rendendo così possibile per un possessore di dominio acquistato di impersonare l’utenza originaria.
Per mitigare i rischi, Trufflesecurity consiglia a Google di implementare identificatori fissi che non possano essere alterati da cambiamenti nei domini o nelle email. Questo potrebbe fornire una maggiore sicurezza e tracciabilità degli utenti nel sistema OAuth.
In aggiunta, le piattaforme SaaS potrebbero adottare pratiche più rigorose, come controllare la data di registrazione dei domini, richiedere approvazioni da parte degli amministratori e introdurre metodi di autenticazione multi-fattore. Tali misure, sebbene potenzialmente efficaci, potrebbero comportare costi e complessità ulteriori nel processo di accesso.
Trufflesecurity sollecita l’attenzione su questa questione affinché le attività online possano garantire maggiore protezione. Negli Stati Uniti, milioni di lavoratori nelle startup sono attualmente a rischio, considerando che circa il 90% di esse si prevede che fallisca entro pochi anni. Di queste, il 50% utilizza Google Workspace, mettendo a repentaglio le informazioni sensibili di un gran numero di persone.