Seolah-olah kehilangan pekerjaan saat startup tempat Anda bekerja bangkrut bukanlah hal yang buruk, kini seorang peneliti keamanan menemukan bahwa karyawan di startup yang gagal memiliki risiko tertentu untuk data mereka dicuri. Ini berkisar dari pesan pribadi Slack mereka hingga nomor Jaminan Sosial dan, mungkin, rekening bank.
Peneliti yang menemukan masalah ini adalah Dylan Ayrey, salah satu pendiri dan CEO startup Truffle Security yang didukung Andreessen Horowitz. Ayrey paling dikenal sebagai pencipta proyek sumber terbuka populer TruffleHog, yang membantu mengawasi kebocoran data jika penjahat mendapatkan alat masuk identitas (yaitu, kunci API, kata sandi, dan token).
Ayrey juga merupakan bintang yang sedang naik daun di dunia perburuan serangga. Minggu lalu pukul konferensi keamanan ShmooCondia memberikan ceramah tentang kelemahan yang dia temukan pada Google OAuth, teknologi di balik “Masuk dengan Google”, yang dapat digunakan orang sebagai ganti sandi.
Ayrey memberikan ceramahnya setelah melaporkan kerentanan tersebut kepada Google dan perusahaan lain yang mungkin terpengaruh dan dapat membagikan rinciannya karena Google tidak melarang para pemburu bug untuk membicarakan temuan mereka. (Project Zero milik Google yang sudah berusia satu dekade, misalnya, sering kali menunjukkan kelemahan yang ditemukan pada produk raksasa teknologi lain seperti Microsoft Windows.)
Dia menemukan bahwa jika peretas jahat membeli domain yang tidak berfungsi dari startup yang gagal, mereka dapat menggunakannya untuk masuk ke perangkat lunak cloud yang dikonfigurasi agar setiap karyawan di perusahaan memiliki akses, seperti aplikasi obrolan atau video perusahaan. Dari sana, banyak dari aplikasi ini menawarkan direktori perusahaan atau halaman info pengguna tempat peretas dapat menemukan email sebenarnya dari mantan karyawannya.
Berbekal domain dan email tersebut, peretas dapat menggunakan opsi “Masuk dengan Google” untuk mengakses banyak aplikasi perangkat lunak cloud startup, dan sering kali menemukan lebih banyak email karyawan.
Untuk menguji kelemahan yang ia temukan, Ayrey membeli satu domain startup yang gagal dan dari domain tersebut ia dapat masuk ke ChatGPT, Slack, Notion, Zoom, dan sistem SDM yang berisi nomor Jaminan Sosial.
“Itu mungkin ancaman terbesar,” kata Ayrey kepada TechCrunch, karena data dari sistem HR cloud adalah “yang paling mudah untuk dimonetisasi, dan nomor Jaminan Sosial serta informasi perbankan dan apa pun yang ada di sistem HR mungkin sangat mungkin terjadi. ” untuk dijadikan sasaran. Dia mengatakan bahwa akun Gmail lama atau Google Dokumen yang dibuat oleh karyawan, atau data apa pun yang dibuat dengan aplikasi Google, tidak berisiko, dan Google mengonfirmasinya.
Meskipun perusahaan gagal yang menjual domain bisa menjadi korban, karyawan perusahaan rintisan sangat rentan karena perusahaan rintisan cenderung menggunakan aplikasi Google dan banyak perangkat lunak cloud untuk menjalankan bisnis mereka.
Ayrey menghitung bahwa puluhan ribu mantan karyawan berada dalam risiko, serta jutaan akun perangkat lunak SaaS. Hal ini berdasarkan penelitiannya yang menemukan 116.000 domain situs web saat ini tersedia untuk dijual dari startup teknologi yang gagal.
Pencegahan tersedia tetapi tidak sempurna
Google sebenarnya memiliki teknologi dalam konfigurasi OAuth-nya yang seharusnya mencegah risiko yang digariskan oleh Ayrey, jika penyedia cloud SaaS menggunakannya. Ini disebut “sub-identifier”, yang merupakan rangkaian nomor unik untuk setiap akun Google. Meskipun seorang karyawan mungkin memiliki beberapa alamat email yang dilampirkan ke akun Google kantornya, akun tersebut hanya boleh memiliki satu sub-identifikasi.
Jika dikonfigurasi, saat karyawan masuk ke akun perangkat lunak cloud menggunakan OAuth, Google akan mengirimkan alamat email dan sub-pengidentifikasi untuk mengidentifikasi orang tersebut. Jadi, meskipun peretas jahat membuat ulang alamat email dengan kontrol domain, mereka tidak akan dapat membuat ulang pengidentifikasi tersebut.
Namun Ayrey, saat bekerja dengan salah satu penyedia SDM SaaS yang terkena dampak, menemukan bahwa pengidentifikasi ini “tidak dapat diandalkan”, yang berarti penyedia SDM menemukan bahwa pengidentifikasi ini berubah dalam persentase kasus yang sangat kecil: 0,04%. Angka tersebut mungkin secara statistik mendekati nol, namun bagi penyedia SDM yang menangani pengguna harian dalam jumlah besar, hal ini menyebabkan ratusan kegagalan login setiap minggunya, sehingga membuat orang tidak dapat mengakses akun mereka. Makanya penyedia cloud ini tidak mau menggunakan sub-identifier Google, kata Ayrey.
Google membantah bahwa sub-pengidentifikasi pernah berubah. Karena temuan ini berasal dari penyedia cloud HR, bukan peneliti, maka temuan ini tidak dikirimkan ke Google sebagai bagian dari laporan bug. Google mengatakan jika mereka melihat bukti bahwa sub-identifikasi tersebut tidak dapat diandalkan, perusahaan akan mengatasinya.
Google berubah pikiran
Namun Google juga tidak setuju dengan betapa pentingnya masalah ini. Pada awalnya, Google mengabaikan bug Ayrey, segera menutup tiket dan mengatakan itu bukan bug tapi masalah “penipuan”. Google tidak sepenuhnya salah. Risiko ini berasal dari peretas yang mengendalikan domain dan menyalahgunakan akun email yang mereka buat ulang melalui domain tersebut. Ayrey tidak menyesali keputusan awal Google, menyebut ini sebagai masalah privasi data di mana perangkat lunak OAuth Google berfungsi sebagaimana mestinya meskipun pengguna masih bisa dirugikan. “Itu tidak terlalu kering,” katanya.
Namun tiga bulan kemudian, tepat setelah ceramahnya diterima oleh ShmooCon, Google berubah pikiran, membuka kembali tiketnya, dan membayar hadiah $1.337 kepada Ayrey. Hal serupa terjadi padanya pada tahun 2021 ketika Google membuka kembali tiketnya setelah dia memberikan ceramah yang sangat populer tentang temuannya di konferensi keamanan siber Black Hat. Google bahkan memberikan hadiah ketiga kepada Ayrey dan rekannya yang menemukan bug, Allison Donovan, dalam peneliti keamanan tahunannya penghargaan (bersama dengan $73,331).
Google belum mengeluarkan perbaikan teknis untuk kelemahan tersebut, atau batas waktu kapan hal itu akan terjadi – dan tidak jelas apakah Google akan membuat perubahan teknis untuk mengatasi masalah ini. Namun, perusahaan telah memperbaruinya dokumentasi untuk memberi tahu penyedia cloud agar menggunakan sub-identifier. Google juga menawarkan instruksi kepada para pendiri tentang cara perusahaan mematikan Google Workspace dengan benar dan mencegah masalah tersebut.
Pada akhirnya, kata Google, solusinya adalah para pendiri harus menutup perusahaannya untuk memastikan mereka menutup semua layanan cloud mereka dengan benar. “Kami menghargai bantuan Dylan Ayrey dalam mengidentifikasi risiko yang timbul dari pelanggan yang lupa menghapus layanan SaaS pihak ketiga sebagai bagian dari penolakan operasi mereka,” kata juru bicara tersebut.
Ayrey, yang juga seorang pendiri, memahami mengapa banyak pendiri tidak memastikan layanan cloud mereka dinonaktifkan. Menutup sebuah perusahaan sebenarnya adalah sebuah proses rumit yang dilakukan pada saat yang mungkin menyakitkan secara emosional — melibatkan banyak hal, mulai dari membuang komputer karyawan, menutup rekening bank, hingga membayar pajak.
“Ketika pendiri harus menghadapi penutupan perusahaan, mereka mungkin tidak mampu memikirkan semua hal yang perlu mereka pikirkan,” kata Ayrey.
