Domínios abandonados de startups podem expor contas do Google Workspace

O problema ocorre quando os domínios utilizados por essas empresas, que fornecem acesso ao Google Workspace empresarial, não são encerrados corretamente após o fechamento da startup, deixando-os disponíveis para revenda. Como muitas startups utilizam o Google Workspace para gerenciar emails, documentos e outras operações internas, o reaproveitamento de um domínio pode levar ao acesso indevido a contas antigas.

A situação é agravada pelo uso do Google OAuth, o popular botão “Entrar com o Google”, que integra serviços externos como Slack, ChatGPT, Zoom e sistemas de recursos humanos. Segundo o pesquisador Dylan Ayrey, invasores podem explorar essa vulnerabilidade para comprometer contas vinculadas ao domínio. Estima-se que cerca de 50% das startups utilizam o Google Workspace, e com 90% dessas empresas eventualmente encerrando suas atividades, existe um grande número de domínios potencialmente vulneráveis disponíveis para compra.

Embora o Google tenha reconhecido o problema, inicialmente o classificou como um comportamento esperado, não como uma falha. A empresa destaca que a vulnerabilidade pode ser mitigada se desenvolvedores usarem o identificador único "sub", que é imutável e vinculado ao usuário. Contudo, Ayrey argumenta que o "sub" apresenta inconsistências em 0,04% dos logins, o que pode ser significativo em plataformas com grande volume de usuários. Ele sugere ao Google implementar dois novos identificadores imutáveis no OpenID Connect, um associado ao usuário e outro ao domínio, para aumentar a segurança e impedir a reutilização de contas após a transferência de domínios.