No es ningún secreto que muchas startups acaban cerrándose a los pocos años de haberse fundado porque las ideas de negocio no acaban de cuajar o porque sus co-fundadores acaban fundiéndose todo el dinero de los inversores.
Algunas de ellas acaban en el cementerio de las empresas emergentes sin pena ni gloria y otras se enfrentan a figuras como el concurso de acreedores exprés, en el caso de España.
En estos procesos es común que muchas cuentas online de los ex-empleados de estas compañías no se protejan convenientemente.
Ahora se ha descubierto que millones de cuentas de Slack, ChatGPT, Zoom y otros proveedores de servicios online pueden ser controladas sin necesidad de una contraseña usando la función de inicio de sesión única de Google que viene con Google Workspace.
Así lo ponía de manifiesto el investigador de seguridad Dylan Arrey en la conferencia de hackers ShmooCon, celebrada el pasado 11 de enero en Washington.
El experto también ha denunciado que hay otras cuentas que pueden ser vulnerables, como las de Asana, Gusto, Notion o Cloudflare. Pero esto sería el comienzo, ya que pueden comprometerse muchos más datos de servicios online.
El principal problema es que las cuentas de Workspace de muchos empleados de estas startups que cerraron 'caducaron' y sus nombres de dominio pasaron a estar disponibles para la venta.
Si una empresa quiebra y un registro de dominio expira cualquiera podría hacerse con él, inscribirse en Google Workspace usando dicho nombre de dominio y posteriormente iniciar sesión con Google para crear nuevas cuentas online.
Sin embargo, en lugar de crear cuentas nuevas los servicios de terceros en ocasiones conectarían a cuentas existentes ya generadas por antiguos trabajadores de los propietarios de esos dominios.
Ayrey buscó en CrunchBase una lista de nombres de dominio vencidos que habían pertenecido a startups que quebraron. Encontró 116.481 y publicó un libro en Amazon que contenía 10.000 de ellos, cada uno con un nombre, una ubicación y una breve descripción.
"Lo más revelador probablemente fueron los sistemas de RR.HH, que permitían iniciar sesión y ver los formularios W-2, los números de Seguro Social y los números de ruta bancaria de los antiguos empleados", explicaba el investigador en el congreso.
Posibles riesgos
Un pirata informático habilidoso podría iniciar sesión en Slack y acceder a mensajes directos, canales privados, etc. O acceder a los registros de Zoom para ver con qué contactos externos se reunió una de esas startups que bajaron la persiana.
No obstante, en ningún momento se comprometerían los datos que posee Google de herramientas como Gmail, Google Drive, Google Calendar o Google Docs.
La vulnerabilidad se daría en los servicios de terceros que aceptan inicios de sesión mediante Iniciar sesión con Google y solo en aquellos que usan la configuración 0Auth predeterminada o agregan factores de autenticación adicionales, según informa SCWorld.