Критическую уязвимость при аутентификации выявили в Google

Злоумышленники использовали лазейку, чтобы обойти процесс проверки.

Недавно Google устранила существенную уязвимость в своём сервисе Workspace, которая позволяла злоумышленникам обходить проверку электронной почты и выдавать себя за владельцев доменов, сообщет Total.kz со ссылкой на Ferra.

Этот недостаток позволял злоумышленникам создавать аккаунты Google Workspace без надлежащей проверки электронной почты, что способствовало несанкционированному доступу к сторонним сервисам с помощью функции «Войти с Google».

Ану Ямунан, директор по защите от злоупотреблений и безопасности в Google Workspace, объяснил, что злоумышленники использовали лазейку, составляя специальные запросы, чтобы обойти процесс проверки.

Они использовали один адрес электронной почты для регистрации, а другой — для проверки токена, получая таким образом несанкционированный доступ. Хотя эти вредоносные аккаунты не злоупотребляли услугами Google напрямую, они использовались для выдачи себя за владельцев доменов на других платформах.