В одному з сервісів Google знайшли критичну вразливість

Google нещодавно усунула серйозну вразливість у своєму сервісі Workspace, яка дозволяла зловмисникам обходити перевірку електронної пошти та видавати себе за власників доменів. Цей критичний недолік у системі аутентифікації давав змогу зловмисникам створювати облікові записи Google Workspace без належної перевірки електронної пошти. Це призводило до несанкціонованого доступу до сторонніх сервісів через функцію «Увійти з Google», повідомляє krebsonsecurity.com.

Ану Ямунан, директор із захисту від зловживань та безпеки в Google Workspace, пояснив, що зловмисники використовували лазівку в системі, складаючи спеціальні запити, щоб уникнути процесу перевірки. Вони використовували одну електронну адресу для реєстрації та іншу для перевірки токена, що дозволяло їм отримати несанкціонований доступ.

Ці шкідливі облікові записи не зловживали безпосередньо послугами Google, але використовувалися для видачі себе за власників доменів на інших платформах.

Підпишись на нас в Google НОВИНИ, та отримуй більше свіжих новин!