De benodigde e-mailverificatie voor Google Workspace bevatte onlangs een kwetsbaarheid die hackers in staat stelde deze te omzeilen, constateerde een securityspecialist. De techgigant heeft inmiddels de kwetsbaarheid gerepareerd.
Volgens securityspecialist KrebsOnSecurity maakten de hackers misbruik van de gratis proefperiode die Google Workspace biedt voor bijvoorbeeld Google Docs. Dat bleek uit informatie van eindgebruikers van Google Workspace. Andere diensten zoals Gmail zijn alleen toegankelijk voor Workspace-gebruikers die zelf de controle hebben over de domeinnaam die met hun zakelijke e-mailadres wordt geassocieerd.
Kwetsbaarheid in validatieproces
De kwetsbaarheid zat juist in dit validatieproces. Hackers waren in staat dit validatieprocees tijdens het aanmeldproces voor Google Workspace te omzeilen. Dit door één e-mailadres te gebruiken om in te loggen en een volledig ander e-mailadres om een token te verifiëren.
Wanneer de e-mailverificatie was bevestigd, kregen zij een Google Workspace-account op naam van een aan te vallen bedrijf waarmee zij hun kwade praktijken konden uitvoeren. Bijvoorbeeld het toegang zoeken tot diensten van andere aanbieders via de single sign-on feature van Google.
Geen van de getroffen domeinen zou ooit zijn geassocieerd met Google Workspace en -diensten.
Reactie Google
In een reactie aan eindgebruikers van Google Workspace geeft het bedrijf aan dat het probleem eind juni werd ontdekt. Hierbij zouden ‘enkele duizenden’ accounts zijn gecompromitteerd. Google heeft 72 uur na de ontdekking van het probleem de kwetsbaarheid opgelost.
Of de kwetsbaarheid daadwerkelijk pas sinds juni dit jaar actief was, wordt door sommige eindgebruikers betwijfeld. In de reacties op de publicatie op KrebsOnSecurity zouden sommige lezers aangeven al begin juni te zijn getroffen of zelfs in 2022 of 2023.
Lees ook: ‘Risco op kwaadaardige extensies in Chrome Web Store is substantieel’