Google Workspace的安全漏洞使数千个邮件账户暴露在黑客面前

当全世界都在为最近由错误更新导致的CrowdStrike故障而感到震惊时，Google最近又面临着一个与Workspace账户有关的重大安全问题。GoogleWorkspace主要服务于企业，允许其使用公司域名创建自己的电子邮局，如[email protected]，企业还可以通过GoogleWorkspace账户访问GoogleDrive、Gmail日历、GoogleMeet等。

Google最近发现，黑客能够绕过创建Google工作空间账户所需的电子邮件验证系统。例如，如果你想创建一个[email protected]的GoogleWorkspace账户，首先需要验证电子邮件地址是否属于你。然而，黑客绕过了这一基本要求。更糟糕的是，创建的GoogleWorkspace帐户可以在允许使用"用Google登录"作为登录机制的第三方服务中使用。

Google通过电子邮件向受影响的用户发送了以下声明：

"在过去几周里，我们发现了一个小规模的滥用活动，不良分子通过使用特殊构建的请求，规避了电子邮件验证（EV）GoogleWorkspace账户创建流程中的电子邮件验证步骤。然后，这些EV用户可以使用'SignInwithGoogle'访问第三方应用程序。"

Google透露，该问题始于6月下旬，影响了"几千个"Workspace账户，他们在发现问题后72小时内就修复了该问题，并增加了额外的检测机制，以防止此类身份验证绕过。

黑客是如何绕过GoogleWorkspace账户的电子邮件验证的：

Google提供免费的Workspace试用账户，允许用户试用Google文档等服务。

不过，要创建一个拥有Gmail和依赖于域的服务的Workspace账户，则需要进行电子邮件验证。

黑客在注册过程中创建了一个专门构建的请求，以规避电子邮件验证。

黑客会使用一个电子邮件地址尝试登录，并使用完全不同的电子邮件地址验证令牌。

一旦他们的电子邮件通过验证，在某些情况下，我们会看到他们使用Google单点登录访问第三方服务。

在HackerNews和KrebsonSecurity的评论区，不同的GoogleWorkspace账户持有者发表了不同的评论。看起来，电子邮件验证绕过问题已经持续了一个多月。

一位用户在6月6日受到了该问题的影响，这并不是Google所说的6月下旬。一位名叫大卫-基顿（DavidKeaton）的评论者称，他在2012年和2023年7月都遇到过类似的问题。另一位评论者称，他也是在6月7日向Google报告了这个问题；请阅读下面他的真实评论：

"Google所说的根本不是事实。攻击大约从6月初开始。我是当时的受害者之一。更有甚者，我有一个6月7日的buganizer票号，上面有最初的发现。大约一个月后才被修复。"

Google对Workspace安全漏洞的时间表和全部程度缺乏透明度，这一点令人担忧。更负责任的做法是明确而详细地公开披露信息，包括为防止未来漏洞而采取的积极措施。此外，通过正式的博客文章来承认这一问题，也将表明Google对透明度和用户信任的承诺。