Дилан из truffleSecurity рассказывает про простейшую дыру (назвать это уязвимостью кажется громковато), которая позволяет пользователям компаний, использующих авторизацию в сервисах вроде Slack или Zoom через Google, продолжать иметь доступ даже после увольнения и удаления доступов.
Всё как обычно, дыра в том, что подобные сервисы используют в качестве идентификатора пользователя email. Но, очевидно, что ты можешь создать несколько разных почтовых адресов, которые получают одни и те же письма (например, банально через добавление слов после "+").
trufflesecurity.com/blog/google-
Google OAuth is Broken (Sort Of) ◆ Truffle Security Co.
Today I’m publicizing a Google OAuth vulnerability that allows employees at companies to retain indefinite access to applications like Slack and Zoom, after they’re off-boarded and removed from their company’s Google organization. The vulnerability is easy for a non-technical audience to understand and exploit.