Недавно Google устранила существенную уязвимость в своем сервисе Workspace, которая позволяла злоумышленникам обходить проверку электронной почты и выдавать себя за владельцев доменов.
Этот недостаток позволял злоумышленникам создавать аккаунты Google Workspace без надлежащей проверки электронной почты, что способствовало несанкционированному доступу к сторонним сервисам с помощью функции «Войти с Google».
Ану Ямунан, директор по защите от злоупотреблений и безопасности в Google Workspace, объяснил, что злоумышленники использовали лазейку, составляя специальные запросы, чтобы обойти процесс проверки. Они использовали один адрес электронной почты для регистрации, а другой — для проверки токена, получая таким образом несанкционированный доступ. Хотя эти вредоносные аккаунты не злоупотребляли услугами Google напрямую, они использовались для выдачи себя за владельцев доменов на других платформах.