Muchas nuevas empresas utilizan la suite de productividad de Google, conocida como Workspace, para manejar el correo electrónico, los documentos y otros asuntos administrativos. De manera similar, muchas aplicaciones web orientadas a los negocios utilizan OAuth de Google, es decir, «Iniciar sesión con Google». Es un circuito de retroalimentación de baja fricción: hasta que la puesta en marcha falla, el dominio sale a la venta y alguien se olvida de cerrar todas las cosas de Google.
Dylan Ayrey, de Truffle Security Co., sugiere en un informe que este problema es más grave de lo que nadie, especialmente Google, reconoce. Muchas empresas emergentes cometen el error crítico de no cerrar adecuadamente sus cuentas (tanto en Google como en otras aplicaciones web) antes de dejar que sus dominios caduquen.
Dada la cantidad de personas que trabajan para nuevas empresas tecnológicas (6 millones), la tasa de fracaso de dichas empresas (90 por ciento), su uso de Google Workspaces (50 por ciento, todo según los números de Ayrey) y la velocidad a la que las nuevas empresas tienden a desmoronarse. , hay muchos dominios conectados con autenticación de Google a la venta en cualquier momento. Eso no sería un problema inherente, excepto que, como muestra Ayrey, comprar un dominio con una cuenta de Google aún activa puede permitirle reactivar las cuentas de Google para ex empleados.
Con acceso de administrador a esas cuentas, puede acceder a muchos de los servicios en los que utilizaron OAuth de Google para iniciar sesión, como Slack, ChatGPT, Zoom y sistemas de recursos humanos. Ayrey escribe que compró un dominio inicial desaparecido y obtuvo acceso a cada uno de ellos a través del inicio de sesión de la cuenta de Google. Terminó con documentos fiscales, detalles de entrevistas de trabajo y mensajes directos, entre otros materiales confidenciales.
Tienes que cerrar la tienda, no simplemente abandonarla.
Al ser contactado para hacer comentarios, un portavoz de Google proporcionó una declaración:
Agradecemos la ayuda de Dylan Ayrey para identificar los riesgos que surgen de que los clientes se olviden de eliminar los servicios SaaS de terceros como parte del rechazo de su operación. Como práctica recomendada, recomendamos a los clientes cerrar correctamente los dominios siguiendo estas instrucciones para hacer imposible este tipo de cuestiones. Además, recomendamos que las aplicaciones de terceros sigan las mejores prácticas mediante el uso de identificadores de cuenta únicos (sub) para mitigar este riesgo.
Las instrucciones de Google señalan que cancelar un Google Workspace «no elimina las cuentas de usuario», que permanecen hasta Se elimina la cuenta de Google de una organización..
En particular, los métodos de Ayrey no pudieron acceder a los datos almacenados dentro de cada cuenta de Google reactivada, sino en plataformas de terceros. Si bien los casos de prueba y los datos de Ayrey se refieren en gran medida a empresas emergentes, cualquier dominio que haya utilizado cuentas de Google Workspace para autenticarse con servicios de terceros y no haya eliminado su cuenta de Google para eliminar el enlace de su dominio antes de vender el dominio podría ser vulnerable.
