Veel startups vertrouwen op Google Workspace, het productiviteitspakket van Google, voor e-mail, documenten en andere kantoorprocessen. Daarnaast maken veel zakelijke webapps gebruik van Google’s OAuth, oftewel de optie ‘Log in met Google’. Dit is handig – totdat een startup faalt, het domein wordt verkocht, en men vergeet om alle Google-gerelateerde zaken af te sluiten.
Dylan Ayrey van Truffle Security wijst in een rapport op de ernst van dit probleem, iets dat volgens hem door Google en anderen wordt onderschat. Veel startups maken de fout hun accounts niet correct af te sluiten – zowel bij Google als bij andere online diensten – voordat hun domein verloopt.
Google Workspace
Met ruim zes miljoen mensen werkzaam bij startups, een faalpercentage van 90 procent, en een gebruik van Google Workspace bij de helft van deze bedrijven, zijn er volgens Ayrey voortdurend verlopen domeinen in omloop. Dit wordt problematisch wanneer een gekocht domein nog gekoppeld blijkt te zijn aan een actieve Google-account. In zulke gevallen kunnen nieuwe eigenaren de accounts van voormalige medewerkers heractiveren.
Met beheerstoegang tot deze accounts kunnen kwaadwillenden toegang krijgen tot verschillende diensten die via Google OAuth zijn gekoppeld, zoals Slack, ChatGPT, Zoom en HR-systemen. Ayrey demonstreerde dit door een verlopen startupdomein te kopen en toegang te krijgen tot belastingdocumenten, sollicitatiegegevens en persoonlijke berichten.
Goede afsluiting essentieel
Een woordvoerder van Google reageerde: “We waarderen Dylan Ayrey’s hulp bij het identificeren van deze risico’s. We raden klanten aan om hun domeinen correct af te sluiten volgens onze instructies. Dit voorkomt dit soort problemen. Daarnaast moedigen we derde partijen aan om best practices te volgen, zoals het gebruik van unieke account-ID’s.”
Google’s richtlijnen benadrukken dat het annuleren van een Google Workspace-abonnement accounts niet verwijdert; deze blijven actief totdat de organisatieaccount wordt verwijderd.
Hoewel Ayrey geen gegevens in de Google-accounts zelf kon inzien, toont zijn onderzoek aan dat elk domein dat Google Workspace gebruikte en deze accounts niet volledig verwijderde, kwetsbaar kan zijn. Dit probleem beperkt zich niet tot startups – elk bedrijf dat deze fout maakt, loopt risico.