Bilgisayar korsanlarının Google Workspace hesapları oluşturmak için kullanıp doğrulama sürecini atlaması nedeniyle binlerce e-posta adresinin güvenliği ihlal edildi.
Google’a göre “özel olarak oluşturulmuş bir istek”, e-postayı doğrulamadan bir Workspace hesabı açabilir. Bu, kötü aktörlerin kendilerini taklit etmek için yalnızca istedikleri hedefin e-posta adresine ihtiyaç duyduğu anlamına geliyordu.
Sahte hesapların hiçbiri Gmail veya Dokümanlar gibi Google hizmetlerini kötüye kullanmak için kullanılmasa da, “Google ile Oturum Aç” özelliği aracılığıyla üçüncü taraf hizmetlerine erişmek için kullanıldı.
Google Cloud Topluluk forumunda deneyimlerini paylaşan etkilenen bir kullanıcıya, Google tarafından, birisinin e-postalarıyla doğrulama olmadan bir Workspace hesabı oluşturduğu ve ardından bu hesabı Dropbox’a giriş yapmak için kullandığı bildirildi.
Bir Google sözcüsü TechRepublic’e şunları söyledi: “Haziran sonlarında, e-posta hesaplarının küçük bir alt kümesini etkileyen hesap kötüye kullanımı sorununu hızlı bir şekilde çözdük. Kapsamlı bir analiz yürütüyoruz ancak şu ana kadar Google ekosisteminde başka bir kötüye kullanım kanıtı bulamadık.”
Doğrulama kusuru, “E-postayla Doğrulanmış” Çalışma Alanı hesaplarıyla sınırlı olduğundan, “Alan Adı Doğrulanmış” hesaplar gibi diğer kullanıcı türlerini etkilemedi.
Google Workspace’in kötüye kullanım ve güvenlik korumaları müdürü Anu Yamunan, Krebs on Security’ye kötü amaçlı etkinliklerin Haziran ayı sonlarında başladığını ve “birkaç bin” doğrulanmamış Workspace hesabının tespit edildiğini söyledi. Ancak habere yorum yapanlar ve Hacker News, saldırıların aslında Haziran başında başladığını iddia ediyor
Etkilenen e-postalara gönderdiği mesajda Google, güvenlik açığını keşfedildikten sonraki 72 saat içinde düzelttiğini ve o zamandan beri tekrarlanmamasını sağlamak için “ek algılama” süreçleri eklediğini söyledi.
Kötü aktörler Google Workspace hesaplarını nasıl istismar etti?
Google Workspace hesabına kaydolan kişiler, Google Workspace hesabının Dokümanlar gibi sınırlı sayıda hizmetine ücretsiz deneme olarak erişebilir. Bu deneme, Workspace’e tam erişim sağlayan e-posta adreslerini doğrulamadıkları takdirde 14 gün sonra sona erecektir.
Ancak güvenlik açığı, kötü niyetli kişilerin Gmail ve alana bağlı hizmetler de dahil olmak üzere tüm pakete doğrulama olmadan erişmesine olanak tanıdı.
Yamunan, Krebs on Security’ye şunları söyledi: “Buradaki taktik, kayıt işlemi sırasında e-posta doğrulamasını atlatmak için kötü bir aktör tarafından özel olarak oluşturulmuş bir talep oluşturmaktı.” “Buradaki vektör, oturum açmayı denemek için bir e-posta adresi ve bir jetonu doğrulamak için tamamen farklı bir e-posta adresi kullanacak olmalarıdır.
“E-posta doğrulaması yapıldıktan sonra bazı durumlarda Google tek oturum açmayı kullanarak üçüncü taraf hizmetlerine eriştiklerini gördük.”
Google’ın uyguladığı düzeltme, kötü niyetli kullanıcıların, bir e-posta adresi için oluşturulan jetonu farklı bir adresi doğrulamak amacıyla yeniden kullanmasını engelliyor.
Etkilenen kullanıcılar, Google’ın sunduğu deneme süresini eleştirerek, özel alan adına sahip bir e-posta adresi kullanarak Workspace hesabı açmaya çalışanların, alan adının sahibi olduklarını doğrulayana kadar herhangi bir erişime sahip olmaması gerektiğini söyledi.
BAKIN: Google Chrome: Bilmeniz gereken güvenlik ve kullanıcı arayüzü ipuçları
Bu, Google Workspace’in geçen yıl karşılaştığı ilk güvenlik olayı değil.
Aralık ayında siber güvenlik araştırmacıları, saldırganların Süper Yönetici erişimi elde etmek için ayrıcalık yükseltmeyi kullanmasına olanak tanıyan DeleFriend kusurunu tespit etti. Ancak kimliği bilinmeyen bir Google temsilcisi The Hacker News’e bunun “ürünlerimizde temel bir güvenlik sorunu” teşkil etmediğini söyledi.
Kasım ayında, Bitdefender tarafından hazırlanan bir rapor, Workspace’te Windows için Google Kimlik Bilgisi Sağlayıcı ile ilgili olarak fidye yazılımı saldırılarına, veri hırsızlığına ve şifre hırsızlığına yol açabilecek çeşitli zayıflıkları ortaya çıkardı. Google bu bulgulara bir kez daha itiraz etti ve araştırmacılara, bunların kendi spesifik tehdit modellerinin dışında olması nedeniyle bunları ele alma planlarının olmadığını söyledi.
Kaynak: https://www.techrepublic.com/article/google-workspace-vulnerability-accounts-compromised/