.
Fazer login em um site usando a opção “Sign In With Google” é realmente conveniente, a ponto de você já ter usado centenas de vezes. No entanto, os pesquisadores descobriram que usar o recurso como funcionário de uma empresa expõe você a possíveis violações de privacidade e, o pior de tudo, ainda não há uma solução para isso.
O recurso “Fazer login com o Google” deixa resquícios de usuários de domínio anteriores
Conforme relatado pela Trufflesecurity, uma falha no sistema OAuth do Google foi descoberta. Afeta qualquer pessoa que tenha trabalhado para uma empresa que permite que seus funcionários usem logins “Sign In With Google” e desde então fechou.
Aqui está o problema: quando você é funcionário de uma empresa e usa o recurso “Sign In With Google” para fazer login em um aplicativo como o Slack com sua conta comercial, o aplicativo recebe dois dados: o domínio e o e-mail endereço. Se o aplicativo receber esses dois dados, ele permitirá que o usuário faça login.
A parte “domínio” é o nome de domínio da empresa, que informa ao aplicativo que você é funcionário dessa empresa específica. No entanto, se a empresa fechar as portas, um agente malicioso poderá comprar e apropriar-se do domínio não utilizado. Se a empresa não “limpou” adequadamente antes de fechar, o malfeitor pode recriar os endereços de e-mail dos funcionários e usá-los para fazer login em serviços de terceiros.
Felizmente, o mau agente não conseguiu entrar na antiga conta comercial do Gmail e ler seus e-mails, mas a Trufflesecurity descobriu que poderia acessar as contas do ex-funcionário nos sistemas ChatGPT, Slack, Notion, Zoom, HR e muito mais. E embora todas essas contas possam conter dados confidenciais por si só, os sistemas de RH são os mais perigosos, pois contêm informações como números de segurança social e dados bancários.
Infelizmente, quando esta exploração foi relatada pela primeira vez, o Google atribuiu a culpa às empresas por não apagarem adequadamente os seus dados. No entanto, depois que a Trufflesecurity demonstrou o ataque durante o Shmoocon (que você pode ver no vídeo acima às 5:34:00), o Google está investigando o assunto novamente.
Enquanto isso, se você usou o “Sign In With Google” enquanto trabalhava em uma empresa que já fechou, seus dados podem estar vulneráveis. Fique de olho nos seus dados e esteja pronto para consertar as coisas se notar uma violação de dados. E mesmo que você nunca use o prático recurso de login durante o trabalho, há muitos motivos pelos quais você não deve mais usar o “Sign In With Google” em qualquer site.
.
