Googles OAuth-Login birgt das Risiko, dass persönliche Daten ehemaliger Mitarbeiter gescheiterter Start-ups gefährdet sind. Dylan Ayrey von Truffle erläutert in einem Blogpost, dass Käufer der Domain eines solchen Start-ups mit Googles OAuth Zugang zu alten Mitarbeiter-Accounts erhalten können.
Betroffen sind Dienste wie Slack, ChatGPT und HR-Plattformen, die oft sensible Informationen enthalten. Der Zugriff wird ermöglicht, wenn der neue Domain-Inhaber den E-Mail-Account eines Ex-Mitarbeiters neu erstellt. Ayrey schlägt vor, dass Google unveränderliche Identifikatoren in seine OAuth-Implementierung einführt, um das Problem zu lösen. Obwohl Google zunächst nicht reagierte, wurde das Problem später erneut geöffnet und eine Bug Bounty gezahlt. Ein Fix steht jedoch noch aus.
Wir sind Experten für Datenschutz und IT-Sicherheit
Profitieren Sie von unserer umfassenden Beratung zu den Themen Datenschutz und IT-Sicherheit. Unser erfahrenes Team unterstützt Sie dabei, Ihre Website und digitalen Dienste datenschutzkonform zu gestalten um die gesetzlichen Vorgaben zu erfüllen.
Kontaktieren Sie uns noch heute und sichern Sie sich praxisnahe Beratung zur Umsetzung der DSGVO und Normen wie ISO 27001, PCI-DSS oder TISAX.
Datenschutz und IT-Sicherheit praktikabel umsetzen – tec4net GmbH
www.tec4net.com – www.it-news-blog.com – www.it-sachverstand.info – www.datenschutz-muenchen.com – www.it-sicherheit-muenchen.com
Alle unsere NEWS -> http://news.tec4net.com – https://x.com/tec4net