Google lost grote kwetsbaarheid op in e-mailverificatiesysteem
Google heeft een kwetsbaarheid in zijn emailverificatiesysteem gefixt, die misbruikt werd om Google Workspace accounts te openen. Eenmaal binnen, konden gebruikers een emailadres met custom domeinnaam verifiëren via een ander e-mailadres. De ‘Sign in with Google’-functie zou ook op deze manier gewoon werken.
Het nieuws is bevestigd door een topman van Google, in gesprek met KrebsOnSecurity. De kwetsbaarheid werd eind juni ontdekt en duizenden accounts zijn slachtoffer geworden ervan. Deze mensen kregen een e-mail van Google nadat de Google Workspace-accounts gesloten waren, waarin werd uitgelegd dat hun e-mailadressen gebruikt werden zonder hun toestemming.
Normaliter moeten Google Workspace-accounts een domeinverificatie krijgen, maar dat was in het geval van deze accounts niet gebeurd. Google ontdekte dat en vond het raar. Zo ging het balletje rollen. Volgens Google gebruikten de mensen achter de accounts een specifieke request tijdens de e-mailverificatie en konden ze zo het proces voltooien met een ander e-mailadres. Daarna werkte de versnelde Sign in with Google-functie ook gewoon met het andere e-mailadres.
Inloggen op andere websites met Google
Google kwam eind juni achter de kwetsbaarheid die ongeveer een maand eerder ontdekt werd door degene die er misbruik van maakten. Het koste ze 72 uur om het gat te dichten en daarna werden de slachtoffers ingelicht. Wat de schade precies is, is niet bekend. KrebsOnSecurity kreeg wel bericht van een lezer, dat zijn Google-account gebruikt was om bij andere sites in te loggen. Zo had de accountdief ingelogd in de lezer z’n Dropbox-account.
Lees meer over Google en schrijf je in voor onze nieuwsbrief.