Terjadi gangguan pada sebagian fitur Google OAuth

Ditemukan kerentanan Google OAuth

• Ditemukan kerentanan pada Google OAuth yang memungkinkan mantan karyawan yang sudah keluar dari perusahaan tetap dapat mengakses aplikasi seperti Slack dan Zoom tanpa batas waktu.
• Kerentanan ini mudah dipahami dan dieksploitasi bahkan oleh kalangan nonteknis, dan Google hingga kini belum mengambil tindakan untuk mengurangi risiko ini.
• Linimasa kejadiannya adalah sebagai berikut: 4 Agustus kerentanan diungkapkan ke Google, dan diperkirakan ratusan aplikasi akan terdampak. 7 Agustus masalah diklasifikasikan. 5 Oktober Google membayar $1337 untuk masalah tersebut. 25 November dilakukan pengungkapan privat massal kepada puluhan aplikasi yang terdampak termasuk Zoom dan Slack. 16 Desember, masalah ini dipublikasikan 134 hari setelah pemberitahuan ke Google.

Latar belakang

• Salah satu beta tester alat Forager dari Truffle Security pernah menemukan dan memublikasikan login yang terdampak kerentanan Microsoft OAuth.
• Mereka terkejut karena Microsoft mengirim klaim email yang tidak dibuat atau diverifikasi oleh Microsoft, dan fakta bahwa klaim email itu sendiri tidak dapat dipercaya.
• Mereka kemudian menemukan peringatan di dokumentasi OIDC Google agar tidak menggunakan email sebagai pengenal.

Akun Google non-Gmail

• Akun Google dapat dibuat dengan menggunakan alamat email yang sudah ada dan bukan Gmail.
• Akun Google baru semacam ini dapat mengirim klaim email Yahoo.
• Alasan dokumentasi Google menyarankan untuk tidak menggunakan email sebagai pengenal utama adalah karena jika email non-Gmail diedit di pengaturan, lalu akun baru dibuat dengan email yang sebelumnya telah diedit itu, dua akun Google yang berbeda dapat mengirim klaim email yang sama.

Bagian yang menjadi masalah

• Akun Google dapat dibuat melalui organisasi Google perusahaan dengan menggunakan alias email dan penerusan tanda plus pada email.
• Alamat email seperti ini diparse oleh banyak organisasi yang terdampak, lalu domain di akhir email digunakan untuk menentukan apakah pengguna dapat masuk.
• Akun Google non-Gmail ini sebenarnya bukan anggota organisasi Google tersebut, sehingga tidak muncul dalam pengaturan admin maupun daftar pengguna Google.

Solusi

• Organisasi dapat melindungi diri dengan menonaktifkan login Google dan menerapkan SAML secara ketat.
• Penyedia layanan memiliki cara untuk menentukan keanggotaan organisasi Google, tetapi klaim HD dihilangkan pada akun yang bukan anggota organisasi Google.
• Google dapat mengambil beberapa langkah untuk memperbaiki masalah ini secara luas bagi semua orang.

Dampak tambahan

• Ada kemungkinan teknis untuk mengakses Zoom dan Slack milik organisasi bahkan tanpa memiliki akses awal ke keduanya.
• Melalui sistem dukungan dan tiket tertentu seperti Zendesk, tiket dukungan dapat dibuat lewat email, lalu digunakan untuk membuat akun Google dan masuk melalui OAuth.

Pemikiran akhir

• Celah dalam sistem OAuth Google yang memungkinkan mantan karyawan terus mengakses platform seperti Slack dan Zoom bukan sekadar kelalaian, melainkan cacat keamanan yang serius.
• Google memiliki kemampuan untuk menerapkan perbaikan luas guna memitigasi masalah ini, dan tujuan pengungkapan publik adalah untuk mendorong perubahan nyata.
• Google memang mengklasifikasikan masalah ini dengan cepat, tetapi tidak mengikuti praktik terbaik internalnya sendiri untuk menyelesaikan masalah dalam 90 hari, sehingga isu ini dipublikasikan pada hari ke-134.

Opini GN⁺

• Artikel ini mengungkap masalah keamanan serius di mana mantan karyawan dapat terus mengakses platform komunikasi penting perusahaan melalui kerentanan dalam sistem Google OAuth.
• Kerentanan semacam ini dapat menjadi ancaman besar bagi keamanan informasi internal perusahaan, dan berpotensi menyebabkan kebocoran informasi sensitif.
• Tidak adanya tindakan aktif dari Google atas masalah ini menimbulkan isu keamanan penting bagi perusahaan maupun pengguna individu, serta menegaskan perlunya meningkatkan kesadaran keamanan siber dan memperkuat protokol keamanan.