Miles de direcciones de correo electrónico se han visto comprometidas después de que los piratas informáticos las utilizaran para crear cuentas de Google Workspace y eludieran el proceso de verificación.
Según Google, una “solicitud especialmente diseñada” podría abrir una cuenta de Workspace sin verificar el correo electrónico. Esto significaba que los malos actores sólo necesitaban la dirección de correo electrónico de su objetivo deseado para hacerse pasar por ellos.
Si bien ninguna de las cuentas falsas se utilizó para abusar de los servicios de Google, como Gmail o Docs, se utilizaron para acceder a servicios de terceros a través de la función “Iniciar sesión con Google”.
Google notificó a un usuario afectado que compartió su experiencia en un foro de la comunidad de Google Cloud que alguien había creado una cuenta de Workspace con su correo electrónico sin verificación y luego la había usado para iniciar sesión en Dropbox.
Un portavoz de Google dijo a TechRepublic: “A finales de junio, resolvimos rápidamente un problema de abuso de cuenta que afectaba a un pequeño subconjunto de cuentas de correo electrónico. Estamos realizando un análisis exhaustivo, pero hasta ahora no hemos encontrado evidencia de abuso adicional en el ecosistema de Google”.
La falla de verificación se limitó a las cuentas de Workspace “verificadas por correo electrónico”, por lo que no afectó a otros tipos de usuarios, como las cuentas de “dominio verificado”.
Anu Yamunan, director de protección contra abusos y seguridad en Google Workspace, le dijo a Krebs on Security que la actividad maliciosa comenzó a fines de junio y se detectaron “algunos miles” de cuentas de Workspace no verificadas. Sin embargo, los comentaristas de la historia y Hacker News afirman que los ataques en realidad comenzaron a principios de junio.
En su mensaje enviado a los correos electrónicos afectados, Google dijo que solucionó la vulnerabilidad dentro de las 72 horas posteriores a su descubrimiento y que desde entonces agregó procesos de “detección adicional” para garantizar que no se pueda repetir.
Cómo los malos actores explotaron las cuentas de Google Workspace
Las personas que se registran para obtener una cuenta de Google Workspace tienen acceso a una cantidad limitada de sus servicios, como Docs, que actúan como una prueba gratuita. Esta prueba finalizará después de 14 días a menos que verifiquen su dirección de correo electrónico, que proporciona acceso completo a Workspace.
Sin embargo, la vulnerabilidad permitió a los delincuentes obtener acceso al conjunto completo, incluidos Gmail y los servicios dependientes del dominio, sin verificación.
“La táctica aquí fue crear una solicitud específicamente construida por un mal actor para eludir la verificación del correo electrónico durante el proceso de registro”, dijo Yamunan a Krebs on Security. “El vector aquí es que usarían una dirección de correo electrónico para intentar iniciar sesión y una dirección de correo electrónico completamente diferente para verificar un token.
“Una vez que fueron verificados por correo electrónico, en algunos casos los vimos acceder a servicios de terceros mediante el inicio de sesión único de Google”.
La solución que Google ha implementado evita que usuarios malintencionados reutilicen un token generado para una dirección de correo electrónico para validar una dirección diferente.
Los usuarios afectados han criticado el período de prueba que ofrece Google, diciendo que aquellos que intentan abrir una cuenta de Workspace utilizando una dirección de correo electrónico con un dominio personalizado no deberían tener ningún acceso hasta que verifiquen la propiedad de su dominio.
VER: Google Chrome: consejos de seguridad y UI que necesitas saber
Esta no es la primera vez que Google Workspace sufre un incidente de seguridad durante el último año.
En diciembre, investigadores de seguridad cibernética identificaron la falla DeleFriend, que podría permitir a los atacantes utilizar la escalada de privilegios para obtener acceso de superadministrador. Sin embargo, un representante anónimo de Google dijo a The Hacker News que esto no representa “un problema de seguridad subyacente en nuestros productos”.
En noviembre, un informe de Bitdefender reveló varias debilidades en Workspace relacionadas con el proveedor de credenciales de Google para Windows que podrían provocar ataques de ransomware, filtración de datos y robo de contraseñas. Google nuevamente cuestionó estos hallazgos y dijo a los investigadores que no tenía planes de abordarlos ya que están fuera de su modelo de amenaza específico.
