Una falla en el sistema OAuth de Google permite el acceso no autorizado a millones de cuentas corporativas abandonadas

Una vulnerabilidad en la característica OAuth de inicio de sesión de Google permite a agentes maliciosos apropiarse de millones de cuentas abandonadas y acceder a datos confidenciales de startups y negocios que no hayan borrado su información antes de dejar su actividad empresarial.

El investigador Dylan Ayrey, de la firma de ciberseguridad Truffle, ha señalado que muchas empresas cometen el error de no cerrar correctamente sus cuentas antes de dejar que sus dominios caduquen. Esto significa que cualquier usuario que los adquiera podría acceder a información como documentos fiscales y facturas, entre otros.

Estas cuentas de Google cuentan con soporte para el inicio de sesión OAuth, un estándar de autorización abierto que permite a las aplicaciones o páginas web acceder a los recursos protegidos de un usuario final sin requerir las credenciales de usuario.

De esa manera, si un usuario compra un dominio con una cuenta de Google aún activa que no se haya restablecido, "hereda los mismos derechos, lo que le otorga acceso a las cuentas de empleados antiguos", tal y como ha afirmado en el comunicado.

El investigador ha apuntado que actualmente 6 millones de estadounidenses trabajan en nuevas empresas tecnológicas. Teniendo en cuenta que el 90 por ciento de las 'startups' del sector "eventualmente fracasan" y que el 50 por ciento de ellas dependen de Google Workspaces para el correo electrónico, abundan las cuentas corporativas abandonadas.

Tras revisar el conjunto de datos de empresas emergentes recogidos por Crunchbase, el analista ha llegado a la conclusión de que existen más de 100.000 dominios actualmente disponibles para la compra de 'startups' fallidas o que hayan cesado su actividad.

Esto significa que, si cada 'startup' fallida contara con un promedio de 10 empleados a lo largo de su vida y utilizase 10 servicios de 'software' como servicio (SaaS), sería posible acceder a datos confidenciales de más de 10 millones de cuentas.

Para conocer el alcance de este problema, el analista de Truffle compró uno de estos dominios obsoletos y advirtió que se le otorgaba acceso a antiguas cuentas de empleados de servicios reconocidos, como ChatGPT, Notion, Slack, Zoom y HR Systems, entre otros.

Con esta adquisición, comprobó que las cuentas incluían los sistemas de Recursos Humanos (RRHH), que contenían documentos fiscales, reciboss, salarios, información de seguros y números de seguridad social. Asimismo, las plataformas de entrevistas contenían datos sobre ofertas de trabajo y rechazo de vacantes.

Ayrey ha puntualizado que informó de este problema a Google el pasado 30 de septiembre y presentó las pruebas del problema, pero Google cerró la incidencia señalando que no se solucionaría. Meses después, recibió una recompensa económica por parte de la tecnológica, que le informó de que estaba trabajando en una solución.

Finalmente, ha dicho que la adquisición y los cambios de propiedad de dominios seguirán comprometiendo las cuentas y que, aunque la intervención de Google en este asunto "es prometedora", las cuentas de millones de estadounidenses seguirán siendo vulnerables "hasta que se implemente una solución".