Menéame: comentarios [4018593]

#16 Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

Aokromes — Wed, 15 Jan 2025 13:21:24 +0000

#11 es tan facil como verificar que dominio tiene una fecha de registro anterior a la creaccion del oauth.

» autor: Aokromes

#15 Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

Aokromes — Wed, 15 Jan 2025 13:20:12 +0000

#8 quita pedian decenas de miles de dolares por el dominio que me quitarian en 0,

» autor: Aokromes

#14 Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

NireeN — Wed, 15 Jan 2025 12:22:32 +0000

No es un bug, es una feature. Un clásico.

» autor: NireeN

#13 Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

--712564-- — Wed, 15 Jan 2025 11:24:28 +0000

#7 Una cosa, si una empresa desaparece uno de los casos es que sea por quiebra, en ese caso es difícil que reaccione adecuadamente, sobre todo si eso va de la mano con despidos, rotación de empleados por condiciones precarias, etc.

Muchas veces se va gente clave, y el que queda no sabe cómo está montado todo. Lo mismo tendría más sentido que esos dominios estuvieran bloqueados años.

» autor: --712564--

#12 Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

--712564-- — Wed, 15 Jan 2025 11:22:11 +0000

#3 No es exactamente lo mismo, pero en cierta forma eso también es una vulnerabilidad, o al menos un tema para tener en consideración. Eso pasa habitualmente con aplicaciones, tu la tienes instalada en el móvil porque es fiable, la aplicación se vende, y alguien la actualiza para incluir malware. Sobre todo con aplicaciones más desconocidas y de desarrolladores pequeños.

» autor: --712564--

#11 Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

--712564-- — Wed, 15 Jan 2025 11:19:27 +0000

#2 Se parece más a cuando te mudas y te olvidas cambiar de dirección, todas tus domiciliaciones, publicidad, lo que sea, piensa que sigues viviendo ahí.

Me pregunto si será viable que los nombres de dominio vengan con información corroborable adicional, de forma que si cambia el dueño, aunque sea el mismo nombre sea irreconocible.

» autor: --712564--

#10 Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

--712564-- — Wed, 15 Jan 2025 11:15:38 +0000

#1 Todo depende, esas vulnerabilidades no son peligrosas hasta que alguien encuentra alguna forma sorprende de explotarlas, sigue siendo una vulnerabilidad.

» autor: --712564--

#9 Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

--419859-- — Wed, 15 Jan 2025 11:04:39 +0000

#3 Si, algo parecido. Si tenías cuenta y datos en Github, ahora los tiene Microsoft.

» autor: --419859--

#8 Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

--419859-- — Wed, 15 Jan 2025 11:02:39 +0000

#6 ¡Menudo emprendedor! Si dejas escapar oportunidades de negocio así de claras acabarás trabajando en Tuiter o algo peor.

» autor: --419859--

#7 Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

Tecar — Wed, 15 Jan 2025 10:53:04 +0000

No es un fallo de oAuth.
Es un problema de uso de cuentas de correo electrónico.
Aparte de que si una empresa tiene un dominio ".empresa.com" y desaparece sin hacerse cargo de eliminar sus cuentas repositorios etc, es que en realidad le importa poco lo que tenga asociado a ellas. Cualquiera que lo registre de nuevo, lo lógico es que herede todo los contenidos.
Si algún empleado tenía contenidos personales asociados esto ya es un problema de cultura del personal.
Es como si compras una oficina y dentro te encuentras cajas con dinero que los empleados escondían.
El problema es que hay gente que se aprovecha de la desidia y recompra dominios olvidados a ver si cae algo.

» autor: Tecar

#6 Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

Aokromes — Wed, 15 Jan 2025 10:50:38 +0000

#1 yo años a avise a redhat que su dominio redhat.com habia caducado y estaba a la venta.

» autor: Aokromes

#5 Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

angelitoMagno — Wed, 15 Jan 2025 10:39:29 +0000

#4 Vale, lo había entendido mal. Pues es un poco más peliagudo, pero me sigue pareciendo un caso muy difícil que se de en la práctica.

Añado: Y que se soluciona con 2FA.

» autor: angelitoMagno

#4 Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

Heni — Wed, 15 Jan 2025 10:35:39 +0000

#3 No es eso, te pongo un ejemplo de github:

Supongamos una empresa que tenía el dominio empresa.com y usaba sus correos empresariales para tener cuentas en githhub, por ejemplo empleado1@empresa.com, existe la posibilidad de que si no cierran la cuenta de github al cerrar la empresa, y viene alguien detrás y registra de nuevo ese dominio empresa.com, y sabe que había una cuenta en github con el email empleado1@empresa.com, puede acceder a los repositorios privados ya que puede activar de nuevo ese email y solicitar cambiar contraseña (obviemos que no tuviese verificación en 2 pasos para simplificar)

Empresa.com antes de cerrar debería haber hecho limpieza y borrado todas esas cuentas en la nube

» autor: Heni

#3 Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

angelitoMagno — Wed, 15 Jan 2025 10:27:14 +0000

#2 O que seas usuario de Github y esta sea comprada por Microsoft

¿Tendrían que haber reseteado todas las cuentas?

» autor: angelitoMagno

#2 Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

Heni — Wed, 15 Jan 2025 10:25:54 +0000

A ver, en este caso particular tiene razón Google, si te haces con el dominio de una empresa que cerró claro que puedes acceder a los servicios que dependan de su email para loguearse pero no sólo el oauth de Google, pasa con todo, por ejemplo solicitando recuperar contraseña... pero es que no tiene solución, es como comprar las oficinas de una empresa que cerró y dejase los documentos o los pcs(sin cifrar los discos), quien venga detrás puede acceder a esa info.

Lo que habría que plantearse es inculcar en las empresas a que tiviesen un "plan de cierre" que incluyese el borrado de estos datos y cuentas de estos servicios

» autor: Heni

#1 Millones de cuentas vulnerables por fallo en OAuth de Google [ENG]

angelitoMagno — Wed, 15 Jan 2025 10:21:54 +0000

La vulnerabilidad:

Usas OAuth para entrar en miaplicacionguay.com, perteneciente a la empresa A.
miaplicacionguay.com cierra.
La empresa B compra el dominio y reabre miaplicacionguay.com
Te autenticas de nuevo.

La empresa B tiene tus datos.

Peligrosidad de esta "vulnerabilidad", creo que nula.

» autor: angelitoMagno