Muitas startups utilizam o pacote de produtividade da Google, conhecido como Workspace, para tratar de e-mails, documentos e outros assuntos de backoffice.
Da mesma forma, muitas aplicações web orientadas para negócios utilizam o OAuth do Google, ou seja, “Entrar com o Google”, algo relativamente simples até que a startup
falha, o domínio é posto à venda e alguém se esquece de fechar todas as contas da Google.
Dylan Ayrey, da Truffle Security Co., sugere num relatório citado pela ARS Technica, que este problema é mais grave do que qualquer pessoa, especialmente a Google, reconhece. Muitas startups cometem o erro crítico de não fechar corretamente as suas contas, tanto na Google como noutras aplicações baseadas na web, antes de deixarem os seus domínios expirar.
Dado o número de pessoas que trabalham para startups tecnológicas (6 milhões), a taxa de insucesso dessas startups (90 por cento), a utilização do Google Workspaces (50 por cento, tudo segundo os números de Ayrey) e a velocidade com que as startups tendem a desmoronar , há muitos domínios ligados à autenticação Google à venda a qualquer momento. Isto não seria um problema inerente, não fosse o caso de, como Ayrey mostra, a compra de um domínio com uma conta Google ainda ativa pode permitir-lhe reativar as contas Google de antigos funcionários.
Com acesso de administrador a estas contas, pode aceder a muitos dos serviços em que utilizavam o OAuth da Google para fazer login, como o Slack, ChatGPT, Zoom e sistemas de RH. Ayrey escreve que comprou um domínio de startup extinto e obteve acesso a cada um deles através de logins em contas Google. Acabou com documentos fiscais, detalhes de entrevistas de emprego e mensagens diretas, entre outros materiais confidenciais.
Como prática recomendada, os clientes devem fechar corretamente os domínios seguindo estas instruções para tornar este tipo de problema impossível. Além disso, incentiva-se as aplicações de terceiros a seguir as melhores práticas utilizando identificadores de conta únicos (sub) para mitigar este risco.
As instruções da Google referem que cancelar um Google Workspace “não remove as contas de utilizadores”, que permanecem até que a conta Google de uma organização seja eliminada.
Embora os casos de teste e os dados de Ayrey digam respeito, em grande parte, a startups, qualquer domínio que tenha utilizado contas do Google Workspace para autenticação em serviços de terceiros e não tenha eliminado a sua conta do Google para remover a sua ligação de domínio antes de vendê-lo pode estar vulnerável.
A correção proposta por Ayrey, que sugeriu à Google, é incluir dois novos identificadores imutáveis dentro das suas declarações OpenID Connect: um ligado ao utilizador que nunca muda e um ligado ao domínio.
Fonte:da Redação e da maistecnologia
Reeditado para:Noticias do Stop 2025
Outras fontes • AFP, AP, TASS, EBS
Material Informático - www.aplicloja.com
Receba diariamente no Grupo STOPMZNWS poderá ler QRCOD
Link do Grupo WhatsApp - https://chat.whatsapp.com/JUiYE4NxtOz6QUmPDBcBCF
Qual Duvida pode enviar +258 827606348 ou E-mail:
Em criação o Aplicativo o APP que ira ver notícias diariamente em seu celular Fotografias:Getty Images/Reuters/EFE/AFP
