Google dice que recientemente solucionó una debilidad de autenticación que permitía a los delincuentes eludir la verificación de correo electrónico necesaria para crear una cuenta de Google Workspace y aprovecharla para hacerse pasar por el titular de un dominio en servicios de terceros que permiten inicios de sesión a través de la función «Iniciar sesión con Google» de Google. La semana pasada, KrebsOnSecurity recibió noticias de un lector que dijo haber recibido un aviso de que su dirección de correo electrónico se había utilizado para crear una cuenta de Workspace potencialmente maliciosa que Google había bloqueado. «En las últimas semanas, identificamos una campaña de abuso a pequeña escala mediante la cual los malos actores eludieron el paso de verificación de correo electrónico en nuestro flujo de creación de cuentas para cuentas de Google Workspace verificadas por correo electrónico (EV) mediante una solicitud especialmente construida», se lee en el aviso de Google. «Estos usuarios de EV podrían luego usarse para obtener acceso a aplicaciones de terceros mediante ‘Iniciar sesión con Google'». En respuesta a las preguntas, Google dijo que solucionó el problema dentro de las 72 horas posteriores a su descubrimiento y que la empresa ha agregado detección adicional para protegerse contra este tipo de elusiones de autenticación en el futuro. Anu Yamunan, director de protección contra abusos y seguridad en Google Workspace, dijo a KrebsOnSecurity que la actividad maliciosa comenzó a fines de junio e involucró a «algunos miles» de cuentas de Workspace que se crearon sin verificar el dominio. Google Workspace ofrece una prueba gratuita que las personas pueden usar para acceder a servicios como Google Docs, pero otros servicios como Gmail solo están disponibles para los usuarios de Workspace que pueden validar el control sobre el nombre de dominio asociado con su dirección de correo electrónico. La debilidad que Google corrigió permitió a los atacantes eludir este proceso de validación. Google enfatizó que ninguno de los dominios afectados había sido asociado previamente con cuentas o servicios de Workspace. «La táctica aquí fue crear una solicitud específicamente construida por un actor malicioso para eludir la verificación de correo electrónico durante el proceso de registro», dijo Yamunan. «El vector aquí es que usarían una dirección de correo electrónico para intentar iniciar sesión y una dirección de correo electrónico completamente diferente para verificar un token. Una vez que se verificó el correo electrónico, en algunos casos los hemos visto acceder a servicios de terceros utilizando el inicio de sesión único de Google». Yamunan dijo que ninguna de las cuentas de Workspace potencialmente maliciosas se utilizó para abusar de los servicios de Google, sino que los atacantes buscaron hacerse pasar por el titular del dominio ante otros servicios en línea. En el caso del lector que compartió el aviso de violación de Google, los impostores utilizaron la omisión de autenticación para asociar su dominio con una cuenta de Workspace. Y ese dominio estaba vinculado a su inicio de sesión en varios servicios de terceros en línea. De hecho, la alerta que este lector recibió de Google decía que la cuenta de Workspace no autorizada parece haber sido utilizada para iniciar sesión en su cuenta en Dropbox. Google dijo que la omisión de autenticación ahora corregida no está relacionada con un problema reciente que involucra nombres de dominio basados ​​en criptomonedas que aparentemente se vieron comprometidos en su transición a Squarespace, que el año pasado adquirió más de 10 millones de dominios que se registraron a través de Google Domains. El 12 de julio, varios dominios vinculados a empresas de criptomonedas fueron secuestrados de usuarios de Squarespace que aún no habían configurado sus cuentas de Squarespace. Desde entonces, Squarespace ha publicado una declaración en la que culpa de los secuestros de dominios a «una debilidad relacionada con los inicios de sesión de OAuth», que Squarespace dijo que solucionó en cuestión de horas.