Google ha recentemente corretto una vulnerabilità che consentiva di aggirare il sistema di verifica dell’email usato per la creazione di un account Workspace. L’azienda di Mountain View ha specificato che il problema è stato risolto entro 72 ore, ma diversi utenti affermano che il bug è stato segnalato all’inizio di giugno.
Fix rilasciato dopo un mese?
Google Workspace consente di creare indirizzi email con il dominio dell’azienda. In questo caso è necessaria la verifica dell’email per dimostrare che appartiene effettivamente all’azienda. La vulnerabilità poteva essere sfruttata da malintenzionati per aggirare il processo di verifica durante la creazione dell’account attraverso una richiesta specifica.
Era quindi possibile usare un indirizzo email per il login e un altro indirizzo email per la verifica. Google ha confermato che il problema era limitato a poche migliaia di account. Nessuno di essi è stato usato per abusare dei servizi Google, ma qualcuno ha tentato di impersonare il titolare del dominio su altri servizi.
In un caso è stato associato il dominio ad un account Workspace del cybercriminale. Quel dominio è stato usato per accedere all’account Dropbox della vittima. Google sottolinea che le attività fraudolente sono state rilevate a fine giugno. La vulnerabilità è stata corretta entro le 72 ore successive con l’aggiunta di altre misure protettive.
Commentando la notizia pubblicata da Brian Krebs, un utente ha scritto che l’affermazione di Google è falsa. I primi attacchi che sfruttano la vulnerabilità risalgono all’inizio di giugno. Questa poca trasparenza sul problema potrebbe avere conseguenze negative per l’azienda di Mountain View. Un utente ha scritto di aver sostituito Workspace con la suite cloud di Zoho.