Falha estrutural no Google OAuth: recompra de domínios extintos concede acesso a sistemas SaaS de ex-funcionários

Em janeiro de 2025, a Truffle Security publicou pesquisa documentando uma falha estrutural no fluxo de autenticação OAuth do Google: o mecanismo "Sign in with Google" autentica com base no domínio do e-mail sem verificar se o proprietário atual do domínio é o mesmo que o configurou originalmente nos serviços SaaS.

Isso significa que ao comprar o domínio de uma startup falida — disponível frequentemente por valores irrisórios após o encerramento — e recriar os endereços de e-mail dos ex-funcionários, qualquer pessoa obtém automaticamente acesso a todos os serviços SaaS configurados com "Sign in with Google": Slack, Zoom, plataformas de RH com holerites e dados de seguro, sistemas de entrevistas, e-mails corporativos archivados, repositórios de código, entre outros.

O Google inicialmente classificou o comportamento como esperado, mas reabriu o reporte em dezembro de 2024 e pagou recompensa de US$ 1.337 ao pesquisador. A Truffle Security estimou que milhões de contas estavam expostas à época da publicação, com dados corporativos sensíveis de startups extintas acessíveis a qualquer interessado.

Empresas que utilizam "Sign in with Google" devem implementar processos rigorosos de offboarding que incluam revogação explícita de acessos em todos os sistemas SaaS ao desligamento de funcionários, não dependendo apenas da desativação do e-mail corporativo. Auditorias periódicas de acessos ativos e uso de SSO corporativo com controle centralizado são as melhores práticas recomendadas.

Fonte: Truffle Security.