谷歌在其帐户创建过程中修补了一个漏洞,该漏洞以前允许网络犯罪分子绕过Google Workspace帐户的电子邮件验证。此漏洞使攻击者能够在第三方服务上使用“使用Google登录”功能冒充域名持有者。来源。该问题于六月下旬出现,涉及数千个未经域验证而创建的Workspace帐户。来源一位读者告诉KrebsOnSecurity,他们收到了关于与他们的电子邮件关联的潜在恶意Workspace帐户的通知,谷歌随后阻止了该帐户。谷歌在发现问题后的72小时内就解决了这个问题,并实施了额外的检测措施来防止类似的身份验证绕过。来源Google Workspace滥用和安全保护主管Anu Yamunan澄清说,该漏洞涉及特别设计的请求,以规避电子邮件验证步骤。她指出,受影响的域之前都没有与Workspace帐户或服务关联。Google Workspace的免费试用版提供对Google Docs等服务的访问权限,而Gmail和其他服务需要域名验证,攻击者设法绕过了域名验证。来源