骗子绕过 Google 的电子邮件验证来创建 Workspace 帐户并访问第三方服务

谷歌表示，它最近修复了一个身份验证漏洞，该漏洞允许犯罪分子绕过创建 Google Workspace帐户所需的电子邮件验证，并利用该漏洞冒充允许通过谷歌的“使用 Google 登录”功能登录的第三方服务的域名持有者。

上周，KrebsOnSecurity 收到一位读者的来信，称他们收到通知，称他们的电子邮件地址被用来创建一个潜在的恶意 Workspace 帐户，而该帐户已被谷歌屏蔽。

谷歌在通知中写道：“过去几周，我们发现了一场小规模的滥用活动，其中不法分子利用特殊构造的请求绕过了我们已通过电子邮件验证 (EV) 的 Google Workspace 帐户创建流程中的电子邮件验证步骤。然后，这些 EV 用户可能会利用‘使用 Google 登录’访问第三方应用程序。”

在回答问题时，谷歌表示已在发现该问题后的 72 小时内解决了该问题，并且公司已增加了额外的检测功能以防止此类身份验证绕过。

Google Workspace 滥用和安全防护总监Anu Yamunan告诉 KrebsOnSecurity，恶意活动始于 6 月底，涉及“数千个”未经域名验证创建的 Workspace 帐户。

Google Workspace 提供免费试用，人们可以使用它访问 Google Docs 等服务，但其他服务（如 Gmail）仅供能够验证与其电子邮件地址关联的域名控制权的 Workspace 用户使用。Google 修复的漏洞使攻击者能够绕过此验证过程。Google 强调，受影响的域名之前均未与 Workspace 帐户或服务相关联。

“这里的策略是，恶意攻击者会创建一个专门构建的请求，以绕过注册过程中的电子邮件验证，”Yamunan 说。“这里的载体是，他们会使用一个电子邮件地址尝试登录，并使用一个完全不同的电子邮件地址来验证令牌。一旦他们通过了电子邮件验证，在某些情况下，我们发现他们会使用 Google 单点登录访问第三方服务。”

亚穆南表示，这些潜在的恶意工作区账户均未被用来滥用谷歌服务，而是攻击者试图冒充域名持有者来使用其他在线服务。

在分享 Google 违规通知的读者的案例中，冒名顶替者利用身份验证绕过将他的域名与 Workspace 帐户关联起来。该域名与他在多个第三方在线服务上的登录信息绑定在一起。事实上，这位读者从 Google 收到的警报称，未经授权的 Workspace 帐户似乎已被用来登录他在Dropbox 的帐户。

谷歌表示，现已修复的身份验证绕过问题与最近涉及加密货币域名的问题无关，这些域名显然在向 Squarespace 过渡时受到了损害，Squarespace 去年收购了超过 1000 万个通过 Google Domains 注册的域名。

7 月 12 日，一些与加密货币业务相关的域名被 Squarespace 用户劫持，这些用户尚未设置 Squarespace 账户。Squarespace 随后发布声明，将域名劫持归咎于“与 OAuth 登录相关的漏洞”，Squarespace 表示已在数小时内修复了该漏洞。

原文始发于微信公众号（独眼情报）：骗子绕过 Google 的电子邮件验证来创建 Workspace 帐户并访问第三方服务