多くのスタートアップ企業は、Workspace として知られる Google の生産性スイートを使用して、電子メール、ドキュメント、その他のバックオフィス業務を処理しています。これに関連して、ビジネス志向の Web アプリの多くは Google の OAuth、つまり「Sign in with Google」を使用しています。これは、スタートアップが失敗し、ドメインが売りに出され、誰かがすべての Google サービスを閉鎖するのを忘れるまで、摩擦の少ないフィードバック ループです。
トリュフセキュリティ社のディラン・エイリー氏は、 レポートで示唆する この問題は誰、特に Google が認識しているよりも深刻であると考えられています。多くのスタートアップ企業は、ドメインの有効期限が切れる前に、Google と他の Web ベースのアプリの両方でアカウントを適切に閉鎖しないという重大な間違いを犯しています。
テクノロジー系スタートアップで働く人の数(600 万人)、当該スタートアップの失敗率(90 パーセント)、Google Workspaces の使用率(50 パーセント、すべて Ayrey の数字による)、スタートアップが崩壊する傾向のある速度を考慮すると、 、Google 認証に接続されたドメインが随時売りに出されています。これは固有の問題ではありませんが、Ayrey 氏が示すように、まだアクティブな Google アカウントでドメインを購入すると、元従業員の Google アカウントを再度アクティブ化できるという点が異なります。
これらのアカウントへの管理者アクセス権があれば、Slack、ChatGPT、Zoom、HR システムなど、Google の OAuth を使用してログインするサービスの多くにアクセスできます。 Ayrey は、消滅したスタートアップ ドメインを購入し、Google アカウントのサインインを通じてそれぞれのドメインにアクセスしたと書いています。彼は最終的に、税務書類、就職面接の詳細、ダイレクトメッセージなどの機密情報を入手しました。
店をただ放棄するのではなく閉店する必要がある
コメントを求めたところ、Googleの広報担当者は次のような声明を発表した。
顧客がサードパーティの SaaS サービスの運用を拒否する一環として削除し忘れたことに起因するリスクを特定するために、Dylan Ayrey 氏に協力していただいたことに感謝します。ベスト プラクティスとして、次のとおりドメインを適切に閉鎖することをお勧めします。 これらの指示 この種の問題を不可能にするためです。さらに、サードパーティ アプリには、このリスクを軽減するために一意のアカウント識別子 (サブ) を使用してベスト プラクティスに従うことをお勧めします。
Google の手順には、Google Workspace をキャンセルしても「ユーザー アカウントは削除されない」と記載されており、アカウントは削除されるまで残ります。 組織の Google アカウントが削除された場合。
特に、Ayrey の手法では、再アクティブ化された各 Google アカウント内ではなく、サードパーティのプラットフォームに保存されているデータにはアクセスできませんでした。 Ayrey のテスト ケースとデータは主にスタートアップに関するものですが、サードパーティ サービスでの認証に Google Workspace アカウントを使用し、ドメインを販売する前に Google アカウントを削除してドメイン リンクを削除しなかったドメインは脆弱になる可能性があります。
ソース参照
#スタートアップの死霊術 #死んだ #Google #Apps #ドメインが新しい所有者によって侵害される可能性がある