Изследователи по сигурността са установили, че служителите на фалирали стартъпи са изложени на особен риск от кражба на личните им данни. Това варира от съобщения в комуникационните платформи до номера на документи и банкови сметки.

Дилън Айри, съосновател и главен изпълнителен директор на подкрепения от Andreessen Horowitz стартъп Truffle Security е известен най-вече като създател на популярния проект с отворен код TruffleHog. Той помага да се следи за изтичане на данни, ако хакери се сдобият с инструменти за влизане в системата за идентификация (т.е. API ключове, пароли и токени).

Айри е и изгряваща звезда в света на лова на учзвимости. Миналата седмица на конференцията за сигурност ShmooCon той изнася лекция за открит от него недостатък в Google OAuth - технологията, която стои зад функционалността Sign in with Google. Тя дава възможност на потребителите да влизат в различни сайтове без да си правят специални акаунти.

Айри открива, че ако злонамерени хакери купят неработещите домейни на фалирал стартъп, те могат да ги използват, за да влязат в облачен софтуер, конфигуриран така, че да позволява достъп на всеки служител в компанията. Това може да означава фирмено приложение за чат или видео. Оттам много от тези приложения предлагат служебни директории или страници с информация за потребителите, където хакерът може да открие действителните имейли на бившите служители.

Киберсигурност в ерата на дълбоките фалшификати

Въоръжени с домейна и тези имейли, хакерите могат да използват опцията Sign in with Google за достъп до много от софтуерните приложения в облака на стартиращата компания, като често намират още имейли на служители.

За да тества открития от него недостатък, Айри купува домейна на един провалил се стартъп и от него успява да влезе в ChatGPT, Slack, Notion, Zoom и HR система, съдържаща номера на социални осигуровки.

„Това вероятно е най-голямата заплаха“, казва Айри пред TechCrunch, тъй като данните от облачната система за човешки ресурси са „най-лесните, които могат да се монетизират, а номерата на социалните осигуровки и банковата информация и каквото и да е друго е доста вероятно също да бъдат обект на посегателство“.

Въпреки че всяка фалирала компания с домейн за продажба може да стане жертва, служителите на стартъпи са особено уязвими, тъй като те обикновено използват приложенията на Google и много софтуер в облака, за да управляват бизнеса си.

Айри изчислява, че десетки хиляди бивши служители са изложени на риск, както и милиони акаунти за SaaS софтуер. Това се базира на негово проучване, което открива 116 000 уебсайт домейна, които в момента се предлагат за продажба, а преди това са били собственост на провалени технологични стартъпи.

Нова мода в инвестициите - Стартъпите, които закриват стартъпи

Има превенция, но не перфектна

Google всъщност разполага с технология в конфигурацията на OAuth, която би трябвало да предотврати рисковете, посочени от Айри, ако доставчикът на SaaS облак я използва. Тя се нарича „под-идентификатор“ и представлява поредица от числа, уникални за всеки акаунт в Google. Макар че даден служител може да има няколко имейл адреса, свързани с работния му акаунт в Google, той трябва да има само един под-идентификатор.

Ако е конфигуриран, когато служителят реши да влезе в акаунт в облачен софтуер, използвайки OAuth, Google ще изпрати както имейл адреса, така и под-идентификатора, за да идентифицира лицето. Така че, дори ако злонамерени хакери пресъздадат имейл адреси с контрол върху домейна, те не би трябвало да могат да използват тези идентификатори.

Но Айри, работейки с един от засегнатите доставчици, открива, че този идентификатор „е ненадежден“. Специалистът установява, че той се променя в много малък процент от случаите: 0.04%. Статистически това може да е почти нула, но за доставчик на HR услуги, който ежедневно обработва огромен брой потребители, това означава стотици неуспешни влизания всяка седмица, което блокира хората от техните акаунти. Затова компанията отказва да използва под-идентификатора на Google, казва Айри.