Mientras el mundo se tambalea por el Interrupción reciente de CrowdStrike Debido a una actualización defectuosa, Google enfrentó recientemente un problema de seguridad importante relacionado con las cuentas de Workspace. Google Workspace permite a las empresas crear direcciones de correo electrónico profesionales utilizando el nombre de dominio de su empresa, como alex@companydomain.com. Las empresas también pueden acceder a Google Drive, calendarios de Gmail, Google Meet y más a través de una cuenta de Google Workspace.
Google ha descubierto recientemente que los piratas informáticos han conseguido eludir el sistema de verificación de correo electrónico necesario para crear una cuenta de Google Workspace. Por ejemplo, si quieres crear una cuenta de Google Workspace para alex@microsoft.com, primero tienes que comprobar que la dirección de correo electrónico te pertenece. Sin embargo, los piratas informáticos han conseguido eludir este requisito básico. Peor aún, la cuenta de Google Workspace creada podría utilizarse en servicios de terceros que permitan “Iniciar sesión con Google” como mecanismo de inicio de sesión.
Google envió la siguiente declaración en un correo electrónico a los usuarios afectados:
“En las últimas semanas, identificamos una campaña de abuso a pequeña escala en la que actores maliciosos eludían el paso de verificación de correo electrónico en nuestro flujo de creación de cuentas para cuentas de Google Workspace verificadas por correo electrónico (EV) mediante una solicitud especialmente diseñada. Estos usuarios de EV podrían luego ser utilizados para obtener acceso a aplicaciones de terceros mediante 'Iniciar sesión con Google'”.
Google informó a KrebsOnSecurity que el problema comenzó a fines de junio y afectó a “algunos miles” de cuentas de Workspace, y que solucionaron el problema dentro de las 72 horas posteriores a su descubrimiento. Google también confirmó que agregó detección adicional para proteger contra este tipo de omisiones de autenticación.
Así es como los piratas informáticos eludieron la verificación de correo electrónico para las cuentas de Google Workspace:
- Google ofrece una cuenta de prueba gratuita de Workspace que permite a los usuarios probar servicios como Google Docs.
- Sin embargo, para crear una cuenta de Workspace que tenga Gmail y servicios dependientes del dominio, se requiere verificación de correo electrónico.
- Los piratas informáticos crearon una solicitud específicamente diseñada para eludir la verificación del correo electrónico durante el proceso de registro.
- Los piratas informáticos utilizarían una dirección de correo electrónico para intentar iniciar sesión y una dirección de correo electrónico completamente diferente para verificar un token.
- Una vez verificado su correo electrónico, en algunos casos los hemos visto acceder a servicios de terceros mediante el inicio de sesión único de Google.
Los comentarios de varios titulares de cuentas de Google Workspace sobre Noticias de hackers Y la sección de comentarios de Krebs on Security cuenta una historia ligeramente diferente. Parece que el problema de omisión de la verificación de correo electrónico ha estado ocurriendo durante más de un mes.
Un usuario se vio afectado por el problema el 6 de junio, que no es a finales de junio, como afirma Google. Un comentarista llamado David Keaton afirma que se enfrentó a un problema similar en 2012 y nuevamente en julio de 2023. Otro comentarista sostiene que también informó el problema a Google el 7 de junio; lea sus comentarios reales a continuación:
“Lo que dice Google no es cierto. Los ataques comenzaron a principios de junio. Escribo aquí como una de las víctimas de esa época. Es más, tengo un número de ticket de Buganizer del 7 de junio con los hallazgos iniciales. Se solucionó aproximadamente un mes después”.
La falta de transparencia de Google con respecto a la cronología y el alcance total de la falla de seguridad de Workspace genera inquietud. Una divulgación pública clara y detallada, que incluya medidas proactivas para evitar futuras infracciones, sería un enfoque más responsable. Además, reconocer el problema con una publicación formal en el blog demostraría un compromiso con la transparencia y la confianza de los usuarios.
Fuente: Krebs sobre seguridad
