警惕!Google OAuth 漏洞下，账户安全何去何从?

近日，trufflesecurity 发文指出，Google 的 OAuth 存在漏洞，他人可购买已倒闭初创公司的域名，并借此创建前员工的电子邮件账户。尽管不能获取旧邮件数据，但这些账户能用于登录该组织用过的各类 SaaS 产品。

此漏洞的根源在于，Google 的 OAuth 登录在域名所有权变更时无法有效防范。当有人购得倒闭公司的域名后，能继承相同的声明，从而获得访问前员工账户的权限。

文中还列举了一些事实：目前有 600 万美国人在科技初创公司工作，而 90%的科技初创公司最终会失败，其中 50%依赖 Google Workspaces 进行邮件服务。通过分析 Crunchbase 的初创公司数据集，发现超过 10 万个来自失败初创公司的域名可购买。若每个失败的初创公司平均有 10 名员工，并使用 10 种不同的 SaaS 服务，那么就可能涉及访问超过 1000 万个账户的敏感数据。

OAuth 通常包含“hd”(托管域名)和“email”等声明，服务提供商依靠这些声明确定用户能否登录。但问题是，若服务仅依赖这两项声明，域名所有权变更对其而言并无区别。

Google 已重新处理相关问题并发放赏金，但 trufflesecurity 发文时修复措施仍未明确。下游提供商在 Google 完善 OIDC 声明前难防此漏洞，使用非 Google SSO 登录的用户有密码重置被劫风险。初创公司可禁用密码登录、启用带 2FA 的 SSO，服务提供商可增加密码重置验证。总之，Google OAuth 存在漏洞，用户数据和账户安全受潜在威胁。