“Sigh In With Google” memang praktis. Mungkin kamu sudah memakainya ratusan kali. Namun, para peneliti menemukan risiko serius. Fitur ini berbahaya jika digunakan oleh karyawan, terutama di perusahaan yang sudah tutup. Belum ada solusi pasti untuk masalah ini.
Bagaimana Risiko Ini Terjadi?
Menurut laporan dari Trufflesecurity, ada kelemahan pada sistem OAuth Google. Kelemahan ini berdampak pada pengguna yang memakai “Sign In With Google” di aplikasi pihak ketiga, seperti Slack atau Zoom, dengan akun bisnis.
Saat login dengan akun Google Bisnis, aplikasi menerima dua informasi utama: domain perusahaan dan email. Selama domain dan email sesuai, aplikasi akan mengizinkan kamu masuk.
Masalah muncul jika perusahaan tutup dan domainnya tidak lagi digunakan. Pelaku jahat bisa membeli domain yang terbengkalai ini. Setelah itu, mereka bisa membuat ulang email karyawan lama. Lalu, mereka bisa menggunakannya untuk masuk ke aplikasi pihak ketiga.
Risiko Data Sensitif
Meskipun pelaku tidak bisa membaca email lama di Gmail, mereka tetap bisa mengakses aplikasi yang terhubung, seperti ChatGPT, Notion, Slack, dan sistem HR. Akses ke sistem HR sangat berbahaya. Data sensitif tersimpan di sana. Ini termasuk nomor identitas, detail perbankan, dan informasi pribadi lainnya.
Apa yang Dilakukan Google?
Awalnya, Google menyalahkan perusahaan yang tidak membersihkan data mereka sebelum menutup. Namun, setelah Trufflesecurity menunjukkan kelemahan ini di konferensi Shmoocon, Google mulai menyelidiki ulang.
Langkah yang Harus Kamu Lakukan
Jika kamu pernah menggunakan “Sign In With Google” saat bekerja di perusahaan yang kini sudah tutup, data kamu mungkin dalam risiko. Jangan abaikan hal ini. Lindungi akunmu dengan langkah-langkah berikut:
- Pantau Akun dan Akses Kamu: Periksa riwayat login untuk mendeteksi aktivitas yang mencurigakan.
- Perkuat Keamanan Akun: Ganti kata sandi dan aktifkan autentikasi dua faktor.
Untuk keamanan tambahan, pertimbangkan kembali penggunaan fitur “Sign In With Google” di masa depan.