يتعرض موظفو الشركات الناشئة الفاشلة بشكل خاص لخطر سرقة البيانات الشخصية من خلال عمليات تسجيل الدخول القديمة إلى Google

كما لو أن فقدان وظيفتك عندما تنهار الشركة الناشئة التي تعمل بها ليس أمرًا سيئًا بما فيه الكفاية، فقد وجد أحد الباحثين الأمنيين الآن أن الموظفين في الشركات الناشئة الفاشلة معرضون بشكل خاص لخطر سرقة بياناتهم. ويتراوح ذلك من رسائل Slack الخاصة بهم إلى أرقام الضمان الاجتماعي، وربما الحسابات المصرفية.

الباحث الذي اكتشف المشكلة هو ديلان أيري، المؤسس المشارك والرئيس التنفيذي لشركة Truffle Security الناشئة المدعومة من Andreessen Horowitz. يُعرف Ayrey بأنه مبتكر مشروع TruffleHog الشهير مفتوح المصدر، والذي يساعد في مراقبة تسرب البيانات في حالة حصول الأشرار على أدوات تسجيل الدخول (على سبيل المثال، مفاتيح API وكلمات المرور والرموز المميزة).

Ayrey هو أيضًا نجم صاعد في عالم صيد الحشرات. في الأسبوع الماضي في مؤتمر ShmooCon الأمني، ألقى محاضرة عن الخلل الذي اكتشفه في Google OAuth، التقنية وراء “تسجيل الدخول باستخدام Google”، والتي يمكن للأشخاص استخدامها بدلاً من كلمات المرور.

ألقى Ayrey حديثه بعد الإبلاغ عن الثغرة الأمنية إلى Google والشركات الأخرى التي يمكن أن تتأثر، وتمكن من مشاركة تفاصيلها لأن Google لا تمنع صائدي الأخطاء من التحدث عن النتائج التي توصلوا إليها. (على سبيل المثال، غالبًا ما يعرض مشروع Google Project Zero الذي تم إطلاقه منذ عقد من الزمن العيوب التي يجدها في منتجات عمالقة التكنولوجيا الآخرين مثل Microsoft Windows).

واكتشف أنه إذا اشترى المتسللون الخبيثون النطاقات البائدة لشركة ناشئة فاشلة، فيمكنهم استخدامها لتسجيل الدخول إلى البرامج السحابية التي تم تكوينها للسماح لكل موظف في الشركة بالوصول، مثل دردشة الشركة أو تطبيق الفيديو. ومن هناك، تقدم العديد من هذه التطبيقات أدلة الشركة أو صفحات معلومات المستخدم حيث يمكن للمتسلل اكتشاف رسائل البريد الإلكتروني الفعلية للموظفين السابقين.

وباستخدام النطاق ورسائل البريد الإلكتروني هذه، يمكن للمتسللين استخدام خيار “تسجيل الدخول باستخدام Google” للوصول إلى العديد من تطبيقات البرامج السحابية الخاصة بالشركة الناشئة، وغالبًا ما يعثرون على المزيد من رسائل البريد الإلكتروني للموظفين.

ولاختبار الخلل الذي اكتشفه، اشترى Ayrey نطاق إحدى الشركات الناشئة الفاشلة وتمكن منه من تسجيل الدخول إلى ChatGPT وSlack وNotion وZoom ونظام الموارد البشرية الذي يحتوي على أرقام الضمان الاجتماعي.

قال أيري لـ TechCrunch: “ربما يكون هذا هو التهديد الأكبر، حيث أن البيانات الواردة من نظام الموارد البشرية السحابي هي “أسهل ما يمكن لتحقيق الدخل منه، ومن المحتمل جدًا أن تكون أرقام الضمان الاجتماعي والمعلومات المصرفية وأي شيء آخر موجود في أنظمة الموارد البشرية ” ليتم استهدافها. وقال إن حسابات Gmail القديمة أو مستندات Google التي أنشأها الموظفون، أو أي بيانات تم إنشاؤها باستخدام تطبيقات جوجل، ليست معرضة للخطر، وأكدت جوجل ذلك.

في حين أن أي شركة فاشلة لديها نطاق للبيع يمكن أن تقع فريسة، فإن موظفي الشركات الناشئة معرضون للخطر بشكل خاص لأن الشركات الناشئة تميل إلى استخدام تطبيقات Google والكثير من البرامج السحابية لإدارة أعمالهم.

ويقدر آيري أن عشرات الآلاف من الموظفين السابقين معرضون للخطر، بالإضافة إلى الملايين من حسابات برامج SaaS. يعتمد هذا على بحثه الذي وجد أن 116000 نطاق موقع ويب متاح حاليًا للبيع من شركات التكنولوجيا الناشئة الفاشلة.

الوقاية متاحة ولكنها ليست مثالية

تمتلك Google بالفعل تقنية في تكوين OAuth الخاص بها والتي من شأنها أن تمنع المخاطر التي حددتها Ayrey، إذا استخدمها موفر السحابة SaaS. ويُطلق عليه “المعرف الفرعي”، وهو عبارة عن سلسلة من الأرقام الفريدة لكل حساب في Google. على الرغم من أنه قد يكون لدى الموظف عدة عناوين بريد إلكتروني مرفقة بحساب Google الخاص بعمله، إلا أنه يجب أن يحتوي الحساب على معرف فرعي واحد فقط على الإطلاق.

في حالة التهيئة، عندما يقوم الموظف بتسجيل الدخول إلى حساب برنامج سحابي باستخدام OAuth، سترسل Google كلاً من عنوان البريد الإلكتروني والمعرف الفرعي لتحديد هوية الشخص. لذلك، حتى لو قام المتسللون الضارون بإعادة إنشاء عناوين البريد الإلكتروني مع التحكم في المجال، فلن يتمكنوا من إعادة إنشاء هذه المعرفات.

لكن أيري، من خلال العمل مع أحد مزودي الموارد البشرية SaaS المتأثرين، اكتشف أن هذا المعرف “غير موثوق به”، على حد تعبيره، مما يعني أن مزود الموارد البشرية وجد أنه تغير في نسبة صغيرة جدًا من الحالات: 0.04%. قد يكون هذا إحصائيًا قريبًا من الصفر، ولكن بالنسبة لمزود الموارد البشرية الذي يتعامل مع أعداد كبيرة من المستخدمين يوميًا، فإنه يضيف ما يصل إلى مئات من عمليات تسجيل الدخول الفاشلة كل أسبوع، مما يمنع الأشخاص من الوصول إلى حساباتهم. وقال أيري إن هذا هو السبب وراء عدم رغبة موفر الخدمة السحابية هذا في استخدام المعرف الفرعي لـ Google.

تعترض Google على أن المعرف الفرعي يتغير على الإطلاق. نظرًا لأن هذه النتيجة جاءت من موفر السحابة للموارد البشرية، وليس من الباحث، فلم يتم إرسالها إلى Google كجزء من تقرير الخطأ. وتقول جوجل إنها إذا رأت دليلاً على أن المعرف الفرعي غير موثوق به، فسوف تقوم الشركة بمعالجته.

جوجل تغير رأيها

لكن جوجل أيضًا تراجعت عن مدى أهمية هذه القضية على الإطلاق. في البداية، رفضت Google خطأ Ayrey تمامًا، وأغلقت التذكرة على الفور وقالت إنها ليست خطأً بل مشكلة “احتيال”. جوجل لم يكن مخطئا تماما. يأتي هذا الخطر من سيطرة المتسللين على النطاقات وإساءة استخدام حسابات البريد الإلكتروني التي يعيدون إنشاؤها من خلالها. لم يحسد أيري قرار Google الأولي، واصفًا ذلك بأنه مشكلة تتعلق بخصوصية البيانات حيث يعمل برنامج OAuth من Google على النحو المنشود على الرغم من أن المستخدمين ما زالوا عرضة للأذى. قال: “هذا ليس قطعًا وجافًا”.

ولكن بعد ثلاثة أشهر، مباشرة بعد قبول ShmooCon لمحادثته، غيرت Google رأيها، وأعادت فتح التذكرة، ودفعت لـ Ayrey مكافأة قدرها 1337 دولارًا. حدث شيء مماثل له في عام 2021 عندما أعادت Google فتح تذكرته بعد أن ألقى خطابًا حظي بشعبية كبيرة حول النتائج التي توصل إليها في مؤتمر Black Hat للأمن السيبراني. حتى أن جوجل منحت إيري وشريكته في اكتشاف الأخطاء أليسون دونوفان الجائزة الثالثة في جوائزها السنوية للباحثين الأمنيين (إلى جانب 73331 دولارًا).

لم تصدر Google بعد إصلاحًا فنيًا للخلل، ولا جدولًا زمنيًا لموعد حدوثه – وليس من الواضح ما إذا كانت Google ستجري تغييرًا فنيًا لمعالجة هذه المشكلة بطريقة أو بأخرى. ومع ذلك، قامت الشركة بتحديث وثائقها لإخبار موفري الخدمات السحابية باستخدام المعرف الفرعي. تقدم Google أيضًا تعليمات للمؤسسين حول كيفية قيام الشركات بإغلاق Google Workspace بشكل صحيح ومنع المشكلة.

في النهاية، تقول جوجل، إن الحل يكمن في قيام المؤسسين بإغلاق الشركة للتأكد من قيامهم بإغلاق جميع خدماتهم السحابية بشكل صحيح. وقال المتحدث: “نحن نقدر مساعدة ديلان أيري في تحديد المخاطر الناجمة عن نسيان العملاء حذف خدمات SaaS التابعة لجهات خارجية كجزء من رفض عملياتهم”.

ويدرك أيري، المؤسس نفسه، السبب وراء عدم تأكد العديد من المؤسسين من تعطيل خدماتهم السحابية. إن إغلاق الشركة هو في الواقع عملية معقدة يتم إجراؤها خلال فترة يمكن أن تكون مؤلمة عاطفيًا، وتتضمن العديد من العناصر، بدءًا من التخلص من أجهزة الكمبيوتر الخاصة بالموظفين، إلى إغلاق الحسابات المصرفية، وحتى دفع الضرائب.

يقول أيري: “عندما يضطر المؤسس إلى التعامل مع إغلاق الشركة، فمن المحتمل ألا يكون لديه مساحة ذهنية كبيرة ليتمكن من التفكير في كل الأشياء التي يحتاج إلى التفكير فيها”.