Ketika dunia sedang terguncang oleh Gangguan CrowdStrike baru-baru ini disebabkan oleh pembaruan yang salah, Google baru-baru ini menghadapi masalah keamanan yang signifikan terkait akun Workspace. Google Workspace memungkinkan bisnis untuk membuat alamat email profesional menggunakan nama domain perusahaan mereka, seperti [email protected]. Bisnis juga dapat mengakses Google Drive, kalender Gmail, Google Meet, dan lainnya melalui akun Google Workspace.
Google baru-baru ini menemukan bahwa peretas berhasil melewati sistem verifikasi email yang diperlukan untuk membuat akun Google Workspace. Misalnya, jika Anda ingin membuat akun Google Workspace untuk [email protected], Anda harus terlebih dahulu memverifikasi bahwa alamat email tersebut milik Anda. Namun, peretas berhasil melewati persyaratan dasar ini. Lebih buruk lagi, akun Google Workspace yang dibuat dapat digunakan di layanan pihak ketiga yang memungkinkan “Masuk dengan Google” sebagai mekanisme masuk.
Google mengirimkan pernyataan berikut melalui email kepada pengguna yang terkena dampak:
“Dalam beberapa minggu terakhir, kami mengidentifikasi kampanye penyalahgunaan skala kecil yang dilakukan oleh pelaku kejahatan yang menghindari langkah verifikasi email dalam alur pembuatan akun kami untuk akun Google Workspace Email Terverifikasi (EV) menggunakan permintaan yang dibuat secara khusus. Pengguna EV ini kemudian dapat digunakan untuk mendapatkan akses ke aplikasi pihak ketiga menggunakan 'Masuk dengan Google'.”
Google memberi tahu KrebsOnSecurity bahwa masalah tersebut dimulai pada akhir Juni, yang memengaruhi “beberapa ribu” akun Workspace, dan mereka memperbaiki masalah tersebut dalam waktu 72 jam setelah menemukannya. Google juga telah mengonfirmasi bahwa mereka telah menambahkan deteksi tambahan untuk melindungi dari jenis pembobolan autentikasi ini.
Berikut cara peretas melewati verifikasi email untuk akun Google Workspace:
- Google menawarkan akun uji coba Workspace gratis yang memungkinkan pengguna mencoba layanan seperti Google Docs.
- Namun, untuk membuat akun Workspace yang memiliki Gmail dan layanan yang bergantung pada domain, verifikasi email diperlukan.
- Peretas membuat permintaan yang dibuat khusus untuk menghindari verifikasi email selama proses pendaftaran.
- Peretas akan menggunakan satu alamat email untuk mencoba masuk dan alamat email yang sama sekali berbeda untuk memverifikasi token.
- Setelah email mereka diverifikasi, dalam beberapa kasus, kami melihat mereka mengakses layanan pihak ketiga menggunakan Google single sign-on.
Komentar dari berbagai pemegang akun Google Workspace di Berita Peretas dan bagian komentar Krebs on Security menyampaikan cerita yang sedikit berbeda. Masalah bypass verifikasi email tampaknya telah berlangsung selama lebih dari sebulan.
Satu pengguna terkena dampak masalah tersebut pada tanggal 6 Juni, yang bukan akhir Juni, seperti yang diklaim Google. Seorang komentator bernama David Keaton mengklaim bahwa ia menghadapi masalah serupa pada tahun 2012 dan juga pada bulan Juli 2023. Komentator lain berpendapat bahwa ia melaporkan masalah tersebut ke Google pada tanggal 7 Juni juga; baca komentarnya yang sebenarnya di bawah ini:
“Apa yang dikatakan Google sama sekali tidak benar. Serangan dimulai sekitar awal Juni. Saya menulis di sini sebagai salah satu korban saat itu. Bahkan lebih dari itu – memiliki nomor tiket buganizer dari tanggal 7 Juni dengan temuan awal. Itu diperbaiki sekitar sebulan kemudian.”
Kurangnya transparansi Google terkait kronologi dan cakupan penuh kelemahan keamanan Workspace menimbulkan kekhawatiran. Pengungkapan publik yang jelas dan terperinci, termasuk langkah proaktif yang diambil untuk mencegah pelanggaran di masa mendatang, akan menjadi pendekatan yang lebih bertanggung jawab. Selain itu, mengakui masalah tersebut dengan posting blog formal akan menunjukkan komitmen terhadap transparansi dan kepercayaan pengguna.
Sumber: Krebs tentang Keamanan
