Google afirma haber solucionado recientemente una debilidad de autenticación que permitía a los estafadores eludir la verificación por correo electrónico requerida para crear un Espacio de trabajo de Google cuenta y aprovecharla para hacerse pasar por el titular del dominio ante servicios de terceros que permiten iniciar sesión a través de la función «Iniciar sesión con Google» de Google.
La semana pasada, KrebsOnSecurity recibió un mensaje de un lector que decía que había recibido una notificación de que su dirección de correo electrónico había sido utilizada para crear una cuenta de Workspace potencialmente maliciosa que Google había bloqueado.
«Durante las últimas semanas, identificamos una campaña de abuso a pequeña escala en la que actores maliciosos omitieron el paso de verificación de correo electrónico en nuestro proceso de creación de cuenta para cuentas EV de Google Workspace (Email Verified) mediante una consulta especialmente diseñada», se lee en la reseña de Google. “Estos usuarios de vehículos eléctricos podrían utilizarse para acceder a aplicaciones de terceros mediante la función ‘Iniciar sesión con Google’. »
En respuesta a las preguntas, Google dijo que solucionó el problema dentro de las 72 horas posteriores al descubrimiento y que la compañía agregó detección adicional para proteger contra este tipo de omisiones de autenticación en el futuro.
Anu YamunanEl director de protección contra abusos y seguridad de Google Workspace, dijo a KrebsOnSecurity que la actividad maliciosa comenzó a finales de junio e involucró a «unos pocos miles» de cuentas de Workspace creadas sin verificación de dominio.
Google Workspace ofrece una prueba gratuita que brinda acceso a servicios como Google Docs, pero otros servicios como Gmail solo están disponibles para los usuarios de Workspace que pueden validar el control del nombre de dominio asociado con su dirección de correo electrónico. La falla corregida por Google permitió a los atacantes eludir este proceso de validación. Google enfatizó que ninguno de los dominios afectados había sido asociado previamente con cuentas o servicios de Workspace.
«La táctica utilizada aquí fue crear una consulta especialmente diseñada por un actor malicioso para evitar la verificación del correo electrónico durante el proceso de registro», dijo Yamunan. “El vector utilizado aquí es que utilizan una dirección de correo electrónico para intentar iniciar sesión y una dirección de correo electrónico completamente diferente para verificar un token. Una vez que se verifica su correo electrónico, en algunos casos los hemos visto acceder a servicios de terceros mediante el inicio de sesión único de Google. »
Yamunan dijo que ninguna de las cuentas del espacio de trabajo potencialmente maliciosas se utilizó para abusar de los servicios de Google, sino que los atacantes buscaban hacerse pasar por el titular del dominio para otros servicios en línea.
En el caso del lector que compartió el aviso de infracción de Google, los impostores utilizaron la omisión de autenticación para asociar su dominio con una cuenta de Workspace. Y este dominio estaba vinculado a su conexión a varios servicios en línea de terceros. De hecho, la alerta que este lector recibió de Google indicó que la cuenta de Workspace no autorizada parecía haber sido utilizada para iniciar sesión en su cuenta en buzón.
Google dijo que la omisión de autenticación ahora solucionada no está relacionada con un problema reciente que involucra nombres de dominio basados en criptomonedas que aparentemente fueron comprometidos durante su transición a Squarespace, que adquirió el año pasado más de 10 millones de dominios registrados a través de Google Domains.
El 12 de julio, varios dominios relacionados con negocios de criptomonedas fueron secuestrados de usuarios de Squarespace que aún no habían configurado sus cuentas de Squarespace. Desde entonces, Squarespace ha lanzado una declaración culpando de los secuestros de dominio a «una debilidad relacionada con las conexiones OAuth», que Squarespace dijo que solucionó en cuestión de horas.
