Como se perder o emprego quando a startup para a qual trabalha falha não fosse ruim o suficiente, agora um pesquisador de segurança descobriu que os funcionários de startups fracassadas estão em risco particular de ter seus dados roubados. Isso vai desde suas mensagens privadas no Slack até números de Seguro Social e, potencialmente, contas bancárias.
O pesquisador que descobriu o problema é Dylan Ayrey, cofundador e CEO da startup Truffle Security, apoiada pela Andreessen Horowitz. Ayrey é mais conhecido como o criador do popular projeto de código aberto TruffleHog, que ajuda a monitorar vazamentos de dados caso os criminosos obtenham ferramentas de login de identidade (ou seja, chaves de API, senhas e tokens).
Ayrey também é uma estrela em ascensão no mundo da caça a bugs. Na semana passada, na conferência de segurança ShmooCon, ele deu uma palestra sobre uma falha que encontrou no Google OAuth, a tecnologia por trás do 'Sign in with Google', que as pessoas podem usar em vez de senhas.
Ayrey deu sua palestra após relatar a vulnerabilidade ao Google e a outras empresas que poderiam ser afetadas e conseguiu compartilhar os detalhes dela porque o Google não proíbe seus caçadores de bugs de falar sobre suas descobertas. (O Project Zero do Google, por exemplo, frequentemente destaca as falhas que encontra nos produtos de gigantes da tecnologia como o Microsoft Windows.)
Ele descobriu que se hackers maliciosos comprassem os domínios extintos de uma startup fracassada, poderiam usá-los para fazer login em software na nuvem configurados para permitir que cada funcionário da empresa tivesse acesso, como um bate-papo ou aplicativo de vídeo da empresa. A partir daí, muitos desses aplicativos oferecem diretórios de empresas ou páginas de informações do usuário onde o hacker poderia descobrir os e-mails reais dos ex-funcionários.
Com o domínio e esses e-mails, hackers poderiam usar a opção 'Sign in with Google' para acessar muitos dos aplicativos de software na nuvem da startup, muitas vezes encontrando mais e-mails de funcionários.
Para testar a falha que encontrou, Ayrey comprou o domínio de uma startup fracassada e conseguiu fazer login no ChatGPT, Slack, Notion, Zoom e em um sistema de RH que continha números de Seguro Social.
'Essa é provavelmente a maior ameaça', disse Ayrey ao TechCrunch, já que os dados de um sistema de RH na nuvem são 'os mais fáceis de monetizar, e os números de Seguro Social e as informações bancárias e qualquer outra coisa nos sistemas de RH são provavelmente bastante prováveis' de serem alvo. Ele disse que contas antigas do Gmail ou Google Docs criadas pelos funcionários, ou qualquer dado criado com os aplicativos do Google, não estão em risco, e o Google confirmou.
Embora qualquer empresa falida com um domínio à venda possa ser vítima, os funcionários de startups são particularmente vulneráveis porque as startups tendem a usar os aplicativos do Google e muitos softwares na nuvem para administrar seus negócios.
Ayrey calcula que dezenas de milhares de ex-funcionários estão em risco, bem como milhões de contas de software como serviço. Isso se baseia em sua pesquisa que encontrou 116.000 domínios de sites atualmente disponíveis para venda de startups de tecnologia fracassadas.
Prevenção disponível, mas não perfeita
O Google na verdade tem tecnologia em sua configuração de OAuth que deve prevenir os riscos descritos por Ayrey, se o provedor de software como serviço na nuvem a utilizar. Chama-se 'sub-identificador', que é uma série de números únicos para cada conta do Google. Embora um funcionário possa ter vários endereços de e-mail associados à sua conta do Google de trabalho, a conta deve ter apenas um sub-identificador, para sempre.
Se configurado, quando o funcionário tenta fazer login em uma conta de software na nuvem usando OAuth, o Google enviará tanto o endereço de e-mail quanto o sub-identificador para identificar a pessoa. Portanto, mesmo que hackers maliciosos criem novamente endereços de e-mail com controle do domínio, eles não deveriam ser capazes de recriar esses identificadores.
Mas Ayrey, trabalhando com um provedor de software de RH afetado, descobriu que este identificador 'era pouco confiável', como ele colocou, o que significa que o provedor de RH constatou que ele mudava em uma porcentagem muito pequena dos casos: 0,04%. Isso pode ser estatisticamente próximo de zero, mas para um provedor de RH manipulando grandes números de usuários diariamente, isso se soma a centenas de falhas de login por semana, impedindo as pessoas de acessarem suas contas. Foi por isso que esse provedor de nuvem não queria usar o sub-identificador do Google, disse Ayrey.
O Google contesta que o sub-identificador mude. Como esta descoberta veio do provedor de nuvem de RH, e não do pesquisador, não foi enviada ao Google como parte do relatório de bug. O Google diz que se algum dia ver evidências de que o sub-identificador é pouco confiável, a empresa irá corrigir.
Google muda de ideia
Mas o Google também mudou de ideia sobre a importância desse problema. Inicialmente, o Google descartou o bug de Ayrey completamente, fechando rapidamente o chamado e dizendo que não era um bug, mas sim uma questão de 'fraude'. O Google não estava totalmente errado. Este risco vem de hackers controlando domínios e usando contas de e-mail que recriam por meio deles. Ayrey não culpou a decisão inicial do Google, chamando isso de uma questão de privacidade de dados onde o software de OAuth do Google funcionou como pretendido, mesmo que os usuários ainda pudessem ser prejudicados. 'Isso não é tão simples', afirmou.
Mas três meses depois, logo depois que sua palestra foi aceita pelo ShmooCon, o Google mudou de ideia, reabriu o chamado e pagou a Ayrey uma recompensa de $1.337. Algo semelhante aconteceu com ele em 2021, quando o Google reabriu seu chamado depois que ele deu uma palestra muito popular sobre suas descobertas na conferência de cibersegurança Black Hat. O Google até premiou Ayrey e sua parceira de descoberta de bugs Allison Donovan com o terceiro lugar em seus prêmios anuais de pesquisadores de segurança (juntamente com $73.331).
O Google ainda não emitiu uma correção técnica para a falha, nem um cronograma para quando poderia - e não está claro se o Google fará alguma mudança técnica para de alguma forma abordar esse problema. No entanto, a empresa atualizou sua documentação para orientar os provedores de nuvem a usar o sub-identificador. O Google também oferece instruções aos fundadores sobre como as empresas devem fechar adequadamente o Google Workspace e prevenir o problema.
Por fim, o Google diz, a solução está nas mãos dos fundadores que encerram uma empresa para garantir que desativem adequadamente todos os seus serviços na nuvem. 'Agradecemos a ajuda de Dylan Ayrey em identificar os riscos decorrentes de os clientes esquecerem de excluir serviços de software como serviço de terceiros ao desativarem suas operações', disse o porta-voz.
Ayrey, um fundador ele mesmo, entende por que muitos fundadores podem não ter garantido que seus serviços na nuvem estivessem desativados. Encerrar uma empresa é na verdade um processo complicado feito durante o que poderia ser um momento emocionalmente doloroso - envolvendo muitos itens, desde a disposição de computadores de funcionários até o fechamento de contas bancárias, pagamento de impostos.
'Quando o fundador tem que lidar com o fechamento da empresa, provavelmente não está em um ótimo estado de espírito para ser capaz de pensar em todas as coisas nas quais precisa pensar', diz Ayrey.
