Nieuw: de Huawei Watch D2 nu met FreeBuds 5i t.w.v. €99,99 cadeau!

Fout in Google-inlogsysteem kan leiden tot datalek

Wesley Akkerman
Wesley Akkerman
21 januari 2025, 9:26
2 min leestijd
Fout in Google-inlogsysteem kan leiden tot datalek

Lees verder na de advertentie.

Experts hebben een fout in het Google-inlogsysteem gevonden waarmee kwaadwillenden mogelijk toegang krijgen tot gevoelige data. Die gegevens behoren toe tot bedrijven die inmiddels gesloten zijn, maar dan nog kan die tot penibele situaties leiden. Google erkent de fout en zegt tegelijkertijd dat het er niets aan gaat doen.

Fout in Google-inlogsysteem

Het Google-inlogsysteem waar we naar refereren is Inloggen met Google. Dat is een knop die je op menig website aantreft, waardoor je niet overal handmatig een account hoeft aan te maken. Androidworld gebruikt het systeem ook op zijn eigen website.

Lees verder na de advertentie.

Google laat in een reactie weten dat het aan de bedrijven zelf is om goed voor hun eigen data te zorgen. Het lek werd in september 2024 door beveiligingsonderzoekers van Trufflesecurity gevonden. Het team bracht Google daarvan op de hoogte. Twee maanden later kreeg de organisatie pas een reactie, waarschijnlijk omdat de zoekmachinegigant vindt dat bedrijven zelf verantwoordelijk zijn voor hun gegevens. Door de fout in het systeem kan iedereen met toegang tot het gekoppelde domein toegang krijgen tot allerlei gevoelige bedrijfsinformatie. Denk dan aan werknemerscontracten, loonbetalingen en nog veel meer.

Oplossing

Dat werkt als volgt. Nadat een bedrijf zijn HR-systeem gekoppeld heeft aan Inloggen met Google en daarna (om wat voor reden dan ook) gesloten wordt, neemt het eveneens afscheid van een gekoppeld domeinnaam. Wanneer iemand met malafide bedoelingen dat domein opnieuw registreert en hetzelfde e-mailadres aanmaakt, dan kan die persoon opnieuw inloggen in het oude HR-systeem en de gegevens inzien.

Lees verder na de advertentie.

Hoewel Google Trufflesecurity een kleine beloning gaf, besloot het niet te werken aan een oplossing voor dit probleem. Het bedrijf waardeert de moeite die de organisatie in dit onderzoek gestopt heeft, en raadt iedereen deze stappen op te volgen voor het correct opzeggen van een Workspace-account. Dan zou dit als het goed is niet moeten kunnen gebeuren. Op dit moment lopen meer dan honderdduizend domeinen gevaar, aldus de onderzoekers.

Wat vind jij van de reactie van Google? Deel je mening in de comments.

Lees meer over

Op de hoogte blijven?

Volg Androidworld nu ook op WhatsApp

Download de nieuwe Androidworld-app!

Reacties

2

Inloggen of registreren
om een reactie achter te laten

23 januari 2025, 21:04

Als je een oude hardeschijf met gevoelige data weg gooit, dan haal je de oude data weg en overschrijf je hem een x aantal keren voordat je hem verkoopt of weg gooit.

Waarom zou je niet iets soortgelijks doen met een online opslag account met gevoelige informatie? Ik geef Google geen ongelijk.

21 januari 2025, 22:59

Technisch gezien kán Google er niet veel aan doen. Google levert een identiteit en een emailadres. Het gekoppelde bedrijf controleert dit. Plus, er zijn ook legitieme redenen dat er een nieuwe Workspace omgeving op een domein is.

Beetje storm in een glas water dit.