來源: https://manualmentor.com/theres-a-privacy-risk-when-sign-sign-in-with-google-and-theres-no-fix-yet.html?私立-r-r-當- 在google and- theres-no-fix-thet中使用簽名
使用“與Google簽名”選項登錄網站確實很方便,以至於您可能已經使用了數百次。但是,研究人員發現,將該功能用作企業的員工會為您打開潛在的隱私漏洞,最糟糕的是,還沒有解決問題
“與Google的標誌”功能留下了來自先前域用戶的殘餘
如報導 松露的安全性,已經發現了Google的Oauth系統的缺陷。它會影響任何在一家公司工作的人,該公司允許其員工使用“使用Google登錄”登錄並已關閉。
這是一個問題:當您是公司的員工時,您使用“使用Google登錄”功能將其登錄到帶有您的業務帳戶的Slack之類的應用程序時,App Receptnives兩份數據:域和電子郵件地址。如果應用程序接收器這兩個數據都可以讓用戶登錄。
“域”部分是業務的域名,它告訴應用您您是該特定公司的僱員。但是,如果該公司關門,惡意演員可以購買並擁有未使用的領域的所有權。如果業務在關閉之前沒有正確地“清理”,那麼壞演員可以重新創建員工電子郵件地址,並用於登錄第三方服務。
幸運的是,Bad Agent無法納入舊的商務Gmail帳戶並閱讀其電子郵件,但是Trufflesecurity發現它可以在Chatgpt,Slack,Noom,Zoom,Zoom,HR Systems等上訪問前員工的帳戶。儘管所有這些帳戶都可以通過主題持有敏感數據,但人力資源系統是最危險的,因為它們包含了社會保險號和銀行詳細信息等信息。
不幸的是,當首次報導這種利用時,Google將責任歸咎於公司無法正確刪除其數據。但是,在Trufflesecurity在SHMMOOCON期間演示了攻擊之後(您可以在上面的視頻中以5:34:00 Mark看到),Google再次研究了它。
同時,如果您使用“與Google登錄”,而自那以後關閉的公司就使用了,那麼您的數據可能很脆弱。密切關注您的詳細信息並準備好 如果發現數據中斷,請修復問題。即使您在工作期間從未使用方便的登錄功能,也有很多 您不應在任何網站上都不再使用“在Google中籤名”的原因。
Source link
探索更多來自 Gizmo Review 的內容
訂閱後即可透過電子郵件收到最新文章。
