一位匿名读者引用了 Ars Technica 的一篇报道:许多初创公司使用 Google 的生产力套件(称为 Workspace)来处理电子邮件、文档和其他后台事务。与此相关的是,许多具有商业头脑的网络应用程序都使用 Google 的 OAuth,即“使用 Google 登录”。这是一个低摩擦的反馈循环——直到初创公司失败、域名出售、有人忘记关闭所有谷歌的东西。 Truffle Security Co. 的迪伦·艾雷 (Dylan Ayrey) 在一份报告中表示,这个问题比任何人(尤其是谷歌)承认的都要严重。许多初创公司都犯了一个严重错误,就是在域名过期之前没有正确关闭其帐户(无论是在谷歌还是其他基于网络的应用程序上)。考虑到为科技初创公司工作的人数(600 万人)、这些初创公司的失败率(90%)、他们对 Google Workspaces 的使用率(50%,全部来自 Ayrey 的数据),以及初创公司崩溃的速度,有大量与 Google 身份验证相关的域名随时可供出售。这并不是一个固有的问题,只不过,正如 Ayrey 所表明的那样,购买域名可以让您在该网站的 Google 帐户仍然存在的情况下重新激活前员工的 Google 帐户。通过这些帐户的管理员访问权限,您可以访问他们使用 Google OAuth 登录的许多服务,例如 Slack、ChatGPT、Zoom 和 HR 系统。艾雷写道,他购买了一个已失效的初创公司域名,并通过谷歌帐户登录访问了每个域名。他最终获得了税务文件、面试细节、直接消息以及其他敏感材料。谷歌发言人在一份声明中表示:“我们感谢 Dylan Ayrey 帮助识别客户在拒绝运营时忘记删除第三方 SaaS 服务所带来的风险。作为最佳实践,我们建议客户按照这些建议正确关闭域名此外,我们鼓励第三方应用程序遵循最佳实践,使用唯一帐户标识符 (sub) 来降低这种风险。”
在 Slashdot 上阅读这个故事的更多内容。