Google OAuth身分驗證機制存在弱點，攻擊者有機會存取已停用的帳號

資安業者Truffle Security在Google提供的OAuth身分驗證機制（以Google帳號登入）發現弱點，假如使用者曾在新創公司任職，而且該公司已結束營運的狀態，那麼他們的資料就有可能遭到洩露。

Truffle Security執行長兼聯合創辦人Dylan Ayrey指出，，他起初曾藉此成功登入不屬於自己的帳號，以便向Google展示弱點，但得到的回應竟是這些行為「如預期運作（working as intended）」。

之所以存在此項弱點，在於Google對於OAuth身分驗證機制的管制不當，一旦有人試圖買下結束營業的公司網域，並用來重新建立員工的電子郵件帳號，就有機會利用這些帳號登入該公司曾經使用的SaaS服務。

為何Dylan Ayrey會察覺OAuth驗證有弱點？因為他曾買下一個棄用的公司網域，並發現能夠用來存取該公司員工的ChatGPT、Slack、Notion、Zoom、人資系統的帳號。其中最敏感的SaaS服務莫過於人資系統，因為內含稅務文件、薪資、保險資訊、社會安全碼等詳細個資。

究竟這樣的弱點影響範圍有多大？Dylan Ayrey指出，根據統計，有6百萬美國人在科技新創公司工作，其中有9成失敗、結束營業，而這些新創有半數採用Google Workspaces建置電子郵件系統。而且，根據知名創業公司資料庫網站Crunchbase的記錄顯示，有超過10萬個收山的新創公司閒置網域，假設這些公司平均有10個員工，並採用10種SaaS服務，那麼這項弱點將有可能讓1千萬個帳號資料曝光。

去年9月Dylan Ayrey向Google通報此事，並提出緩解措施，起初Google回覆這項問題涉及詐欺與濫用，而非OAuth登入瑕疵，所以，他們不予修補，等到12月9日，Dylan Ayrey確定會在隔年1月美國駭客大會ShmooCon 2025發表這個漏洞的演講之後，10天後，Google終於改變主意，決定重新啟動調查並頒發1,337美元抓漏獎勵，承諾將修復這項弱點，但究竟他們打算如何處理？Google並未向研究人員透露。