数以千计的电子邮件地址在黑客使用它们创建 Google Workspace 帐户并绕过验证过程后遭到入侵。

根据谷歌的说法，“特别构建的请求”可以在不验证电子邮件的情况下开设Workspace帐户。这意味着不良行为者只需要他们想要的目标的电子邮件地址来冒充他们。

虽然没有一个虚假帐户用于滥用 Google 服务，例如 Gmail 或 Docs，但它们用于通过“使用 Google 登录”功能访问第三方服务。

一位在 Google Cloud 社区论坛上分享体验的受影响用户收到 Google 通知，称有人在未经验证的情况下使用他们的电子邮件创建了 Workspace 帐户，然后使用它登录 Dropbox。

谷歌发言人告诉TechRepublic：“在6月下旬，我们迅速解决了一个账户滥用问题，影响了一小部分电子邮件账户。我们正在进行彻底的分析，但到目前为止，还没有发现谷歌生态系统中存在更多滥用行为的证据。

验证漏洞仅限于“电子邮件已验证”工作区帐户，因此它不会影响其他用户类型，例如“域已验证”帐户。

Google Workspace滥用和安全保护主管Anu Yamunan告诉Krebs on Security，恶意活动始于6月下旬，并检测到“几千个”未经验证的Workspace帐户。然而，该报道和 Hacker News 的评论者声称，攻击实际上始于 6 月初

在发送给受影响电子邮件的消息中，谷歌表示，它在发现漏洞后72小时内修复了该漏洞，此后添加了“额外的检测”过程，以确保它不会被重复。

不良行为者如何利用 Google Workspace 帐号

注册 Google Workspace 帐户的个人可以访问有限数量的服务，例如 Docs，作为免费试用。此试用将在 14 天后结束，除非他们验证其电子邮件地址，该电子邮件地址提供完整的 Workspace 访问权限。

但是，该漏洞允许不良行为者在未经验证的情况下访问全套服务，包括 Gmail 和依赖域的服务。

“这里的策略是由不良行为者创建一个专门构建的请求，以在注册过程中规避电子邮件验证，”Yamunan告诉Krebs on Security。“这里的载体是，他们会使用一个电子邮件地址来尝试登录，并使用一个完全不同的电子邮件地址来验证令牌。

“一旦他们通过了电子邮件验证，在某些情况下，我们看到他们使用 Google 单点登录访问第三方服务。”

Google 部署的修复程序可防止恶意用户重复使用为一个电子邮件地址生成的令牌来验证另一个地址。

受影响的用户批评了谷歌提供的试用期，称那些试图使用带有自定义域的电子邮件地址开设Workspace帐户的人在验证其域所有权之前不应有任何访问权限。

这并不是Google Workspace在过去一年中第一次遭受安全事件的影响。

去年 12 月，网络安全研究人员发现了 DeleFriend 漏洞，该漏洞可能让攻击者使用权限提升来获得超级管理员访问权限。然而，一位匿名的谷歌代表告诉The Hacker News，这并不代表“我们产品中的潜在安全问题”。

11 月，Bitdefender 的一份报告披露了 Workspace 中与 Windows 版 Google Credential Provider 相关的几个弱点，这些弱点可能导致勒索软件攻击、数据泄露和密码盗窃。谷歌再次对这些发现提出异议，并告诉研究人员，它没有计划解决这些问题，因为它们超出了特定的威胁模型。