کارمندان استارتاپ‌های شکست‌خورده در معرض خطر بالای سرقت داده‌های شخصی از طریق حساب‌های قدیمی گوگل هستند.

کارمندان استارتاپ‌های نافرجام در معرض خطر خاص سرقت اطلاعات شخصی از طریق لاگین‌های قدیمی گوگل هستند.

Employees of failed startups are at special risk of stolen personal data through old Google logins

به نظر می‌رسد که از دست دادن شغل به دلیل ورشکستگی استارتاپی که در آن کار می‌کنید کافی نیست. یک پژوهشگر امنیتی به نام دیلن آیری، یکی از بنیانگذاران و مدیرعامل استارتاپ Truffle Security، دریافته است که کارمندان استارتاپ‌های ورشکسته در معرض خطر خاصی برای دزدیده شدن داده‌های خود قرار دارند. این خطر شامل پیام‌های خصوصی در اسلک، شماره‌های تأمین اجتماعی و به طور بالقوه حساب‌های بانکی آن‌ها می‌شود. آیری که به عنوان خالق پروژه معروف متن‌باز TruffleHog شناخته می‌شود، به بررسی نشت داده‌ها کمک می‌کند و در زمینه شکار آسیب‌پذیری‌ها نیز به عنوان یک ستاره در حال ظهور در حال شناخته شدن است.
او در کنفرانس امنیتی شموکان، در مورد یک نقص امنیتی که در Google OAuth، تکنولوژی پشت "ورود با حساب گوگل"، یافته بود، صحبت کرد. آیری پیش از این نقص را به Google و دیگر شرکت‌های مرتبط گزارش کرده بود و توانست جزئیات آن را به اشتراک بگذارد، زیرا Google مانع از صحبت کردن شکارچیان خطا درباره یافته‌های خود نمی‌شود. او دریافت که اگر هکرهای مخرب دامنه‌های غیرقابل استفاده استارتاپ‌های ورشکسته را خریداری کنند، می‌توانند با ورود به نرم‌افزارهای ابری که به عنوان دسترسی برای همه کارمندان شرکت تنظیم شده‌اند، به اطلاعات حساس دست یابند.
آیری برای آزمایش این نقص، دامنه یک استارتاپ ورشکسته را خرید و توانست به ChatGPT، Slack، Notion، Zoom و یک سیستم منابع انسانی که شامل شماره‌های تأمین اجتماعی بود، وارد شود. او به TechCrunch گفت: "این احتمالاً بزرگ‌ترین تهدید است"، زیرا داده‌های موجود در یک سیستم منابع انسانی ابری "بسیار آسان برای کسب درآمد هستند" و شماره‌های تأمین اجتماعی و اطلاعات بانکی معمولاً هدف هکرها قرار می‌گیرد. همچنین، او تأکید کرد که حساب‌های قدیمی جیمیل یا مستندات گوگل که توسط کارمندان ایجاد شده‌اند، در معرض خطر نیستند و گوگل نیز این را تأیید کرده است.
کارمندان استارتاپ‌ها به ویژه در خطر هستند، زیرا این شرکت‌ها معمولاً از برنامه‌ها و نرم‌افزارهای ابری گوگل برای مدیریت کسب‌وکار خود استفاده می‌کنند. آیری برآورد می‌کند که ده‌ها هزار کارمند سابق در معرض خطر قرار دارند و همچنین میلیون‌ها حساب نرم‌افزار SaaS در معرض تهدید هستند. این نتایج بر اساس تحقیقات اوست که نشان می‌دهد در حال حاضر 116,000 دامنه وب از استارتاپ‌های ورشکسته برای فروش موجود است. به همین خاطر، استفاده از داده‌های حساس در چنین شرایطی باید به شدت محافظت شود و کارمندان باید آگاه باشند که این اطلاعات ممکن است به دست هکرها بیفتد. همچنین، مهم است که افراد مطلع شوند که سایت ما، iwl.ir، می‌تواند به آن‌ها در آگاهی از خطرات و راهکارهای امنیتی کمک کند.

پیشگیری موجود است اما بی‌نقص نیست

Prevention available but not perfect

پیشگیری موجود اما کامل نیست
گوگل در واقع تکنولوژی‌ای در پیکربندی OAuth خود دارد که باید خطرات مورد اشاره آیری را کاهش دهد، به شرط آنکه ارائه‌دهنده خدمات ابری SaaS از آن استفاده کند. این فناوری به نام "شناسایی‌گر فرعی" شناخته می‌شود که شامل یک سری شماره‌های منحصر به فرد برای هر حساب کاربری گوگل است. در حالی که یک کارمند ممکن است چندین آدرس ایمیل به حساب کاربری کار خود متصل کرده باشد، اما این حساب باید تنها یک شناسایی‌گر فرعی داشته باشد. اگر این تنظیمات به درستی صورت بگیرد، زمانی که کارمند برای ورود به حساب نرم‌افزار ابری از OAuth استفاده کند، گوگل هم آدرس ایمیل و هم شناسایی‌گر فرعی را برای شناسایی فرد ارسال می‌کند. بنابراین، حتی اگر هکرهای مخرب آدرس‌های ایمیلی را با کنترل بر دامنه بازسازی کنند، نباید بتوانند این شناسایی‌گرها را نیز بازسازی کنند.
اما آیری که با یکی از ارائه‌دهندگان خدمات HR ابری مبتلا به این مشکل کار می‌کرد، دریافت که این شناسایی‌گر "قابل اعتماد نیست" و به این معناست که ارائه‌دهنده HR در درصد بسیار کمی از موارد، یعنی ۰.۰۴ درصد، تغییراتی در آن مشاهده کرده است. اگرچه این عدد به طور آماری نزدیک به صفر به نظر می‌رسد، اما برای یک ارائه‌دهنده HR که با تعداد زیادی از کاربرهای روزانه سروکار دارد، به معنای صدها بار ورود ناموفق در هر هفته است که می‌تواند افراد را از حساب‌هایشان قفل کند. آیری بیان کرد که به همین دلیل این ارائه‌دهنده خدمات ابری نخواست از شناسایی‌گر فرعی گوگل استفاده کند.
گوگل به این موضوع پاسخ داده و بیان می‌کند که چنین شناسایی‌گری هرگز تغییر نمی‌کند. از آنجایی که این یافته از طرف ارائه‌دهنده HR ابری اعلام شده و نه محقق، به عنوان بخشی از گزارش اشکال به گوگل ارسال نشده است. گوگل همچنین اعلام کرده که اگر شواهدی از غیرقابل اعتماد بودن شناسایی‌گر فرعی به دست آورد، این شرکت به آن رسیدگی خواهد کرد.
این چالش‌ها نشان‌دهنده نیاز به بهبود در سیستم‌های شناسایی و امنیت در دنیای ابری است که با توجه به افزایش روزافزون تهدیدات سایبری، اهمیت بیشتری پیدا کرده است.

گوگل نظرش را عوض کرد

Google changes its mind

گوگل تغییر نظر می‌دهد. اما گوگل همچنین در مورد اهمیت این موضوع تغییر موضع داد. در ابتدا، این شرکت به طور کامل مشکل آیری را نادیده گرفت و بلافاصله تیکت را بست و اعلام کرد که این یک مشکل باگ نیست بلکه مسئله‌ای مربوط به "فریب" است. این ادعای گوگل به طور کامل نادرست نبود. این ریسک از سوی هکرها ناشی می‌شود که کنترل دامنه‌ها را در دست دارند و از حساب‌های ایمیلی که از طریق آنها بازسازی می‌کنند، سوءاستفاده می‌کنند. آیری به تصمیم اولیه گوگل خرده‌ای نگرفت و این موضوع را یک مسئله حریم خصوصی داده‌ها دانست و گفت که نرم‌افزار OAuth گوگل به درستی عمل می‌کند، هرچند که هنوز هم ممکن است کاربران آسیب ببینند. او گفت: "این موضوع به این سادگی نیست." اما سه ماه بعد، بلافاصله پس از پذیرش سخنرانی‌اش در شموکان، گوگل نظرش را تغییر داد، تیکت را دوباره باز کرد و به آیری ۱,۳۳۷ دلار جایزه پرداخت کرد. در سال ۲۰۲۱ نیز موضوع مشابهی برای او پیش آمد، زمانی که گوگل پس از سخنرانی بسیار محبوبش در کنفرانس امنیتی بلک هت، تیکت او را دوباره باز کرد. همچنین، گوگل به آیری و شریکش در یافتن باگ، الیسون دونوان، جایزه سوم را در جوایز سالانه محققان امنیتی خود اعطا کرد که به همراه آن ۷۳،۳۳۱ دلار نیز پرداخت شد.
اما تا به حال، گوگل هیچ اصلاح فنی برای این نقص منتشر نکرده است و زمان مشخصی برای ارائه آن هم اعلام نشده است. همچنین روشن نیست که آیا گوگل هرگز تغییر فنی برای رفع این مشکل انجام خواهد داد یا خیر. با این حال، این شرکت مستندات خود را به‌روز کرده است تا به ارائه‌دهندگان خدمات ابری بگوید از زیرشناسه‌ها استفاده کنند. گوگل همچنین دستورالعمل‌هایی به بنیان‌گذاران ارائه می‌دهد تا شرکت‌ها به درستی خدمات گوگل ورک‌اسپیس خود را متوقف کنند و از بروز این مشکل جلوگیری کنند.
در نهایت، گوگل می‌گوید که این اصلاح به بنیان‌گذاران کمک می‌کند تا از بسته شدن صحیح تمامی خدمات ابری خود اطمینان حاصل کنند. سخنگوی گوگل گفت: "ما از همکاری دیلن آیری در شناسایی ریسک‌هایی که از فراموشی مشتریان برای حذف خدمات SaaS شخص ثالث ناشی می‌شود، قدردانی می‌کنیم." آیری، که خود یک بنیان‌گذار است، درک می‌کند که چرا بسیاری از بنیان‌گذاران ممکن است به مطمئن شدن از غیرفعال بودن خدمات ابری خود نپردازند. بسته شدن یک شرکت در واقع فرآیندی پیچیده است که در زمان‌های احساسی دشوار انجام می‌شود و شامل موارد زیادی می‌شود، از جمله دور انداختن رایانه‌های کارمندان، بستن حساب‌های بانکی و پرداخت مالیات‌ها. آیری می‌گوید: "زمانی که بنیان‌گذار باید با بسته شدن شرکت مواجه شود، احتمالاً در شرایط روحی خوبی نیست که بتواند به همه جزئیات مربوط به این موضوع فکر کند."

• Google
• OAuth
• Security
• Startups
• Startups