Miles de direcciones de correo electrónico se han visto comprometidas después de que los piratas informáticos las usaran para crear cuentas de Google Workspace y evitaran el proceso de verificación. Según Google, una «solicitud especialmente construida» podría abrir una cuenta de Workspace sin verificar el correo electrónico. Esto significaba que los actores maliciosos solo necesitaban la dirección de correo electrónico de su objetivo deseado para hacerse pasar por ellos. Si bien ninguna de las cuentas falsas se utilizó para abusar de los servicios de Google, como Gmail o Docs, se utilizaron para acceder a servicios de terceros a través de la función «Iniciar sesión con Google». Un usuario afectado que compartió su experiencia en un foro de Google Cloud Community recibió una notificación de Google de que alguien había creado una cuenta de Workspace con su correo electrónico sin verificación y luego la había utilizado para iniciar sesión en Dropbox. Un portavoz de Google le dijo a TechRepublic: «A fines de junio, resolvimos rápidamente un problema de abuso de cuenta que afectaba a un pequeño subconjunto de cuentas de correo electrónico. Estamos realizando un análisis exhaustivo, pero hasta ahora no hemos encontrado evidencia de abuso adicional en el ecosistema de Google». La falla de verificación se limitó a las cuentas de Workspace «Correo electrónico verificado», por lo que no afectó a otros tipos de usuarios, como las cuentas «Dominio verificado». Anu Yamunan, director de protección contra abusos y seguridad en Google Workspace, dijo a Krebs on Security que la actividad maliciosa comenzó a fines de junio y se detectaron «algunos miles» de cuentas de Workspace no verificadas. Sin embargo, los comentaristas de la historia y Hacker News afirman que los ataques en realidad comenzaron a principios de junio. En su mensaje enviado a los correos electrónicos afectados, Google dijo que solucionó la vulnerabilidad dentro de las 72 horas posteriores a su descubrimiento y que desde entonces agregó procesos de «detección adicionales» para garantizar que no se repita. Cobertura de seguridad de lectura obligada Cómo los actores maliciosos explotaron las cuentas de Google Workspace Las personas que se registran para obtener una cuenta de Google Workspace tienen acceso a un número limitado de sus servicios, como Docs, que actúa como una prueba gratuita. Esta prueba finalizará después de 14 días a menos que verifiquen su dirección de correo electrónico, que brinda acceso completo a Workspace. Sin embargo, la vulnerabilidad permitió a los actores maliciosos obtener acceso a la suite completa, incluido Gmail y los servicios dependientes del dominio, sin verificación. «La táctica aquí fue crear una solicitud específicamente construida por un actor malicioso para eludir la verificación del correo electrónico durante el proceso de registro», dijo Yamunan a Krebs on Security. “El vector aquí es que usarían una dirección de correo electrónico para intentar iniciar sesión y una dirección de correo electrónico completamente diferente para verificar un token. “Una vez que se verificó el correo electrónico, en algunos casos los hemos visto acceder a servicios de terceros utilizando el inicio de sesión único de Google”. La solución que Google ha implementado evita que los usuarios malintencionados reutilicen un token generado para una dirección de correo electrónico para validar una dirección diferente. Los usuarios afectados han criticado el período de prueba que ofrece Google, diciendo que aquellos que intentan abrir una cuenta de Workspace usando una dirección de correo electrónico con un dominio personalizado no deberían tener acceso hasta que verifiquen la propiedad de su dominio. VER: Google Chrome: consejos de seguridad e interfaz de usuario que necesita saber Esta no es la primera vez que Google Workspace ha sido objeto de un incidente de seguridad en el último año. En diciembre, los investigadores de seguridad cibernética identificaron la falla DeleFriend, que podría permitir a los atacantes usar la escalada de privilegios para obtener acceso de superadministrador. Sin embargo, un representante anónimo de Google le dijo a The Hacker News que no representa «un problema de seguridad subyacente en nuestros productos». En noviembre, un informe de Bitdefender reveló varias debilidades en Workspace relacionadas con Google Credential Provider para Windows que podrían provocar ataques de ransomware, exfiltración de datos y robo de contraseñas. Google volvió a cuestionar estos hallazgos y les dijo a los investigadores que no tenía planes de abordarlos porque están fuera de su modelo de amenazas específico.
