Hackers encontraram uma maneira de obter acesso não autorizado às contas do Google, ignorando qualquer autenticação multifator (MFA) que o usuário possa ter configurado. Para fazer isso, eles roubam "cookies de autenticação" e, em seguida, prolongam sua vida útil e nem adianta, o dono da conta alterar a senha.
Desde a descoberta do exploit, vários pesquisadores de segurança analisaram e discutiram a questão. Como resultado, o exploit agora está embutido em vários "information stealers".
Os cookies são usados para rastrear usuários em sites e lembrar informações sobre sua visita. Os "cookies de autenticação" são, em essência, pedaços de dados que o navegador envia a um site para identificar o usuário e verificar se ele está conectado. Normalmente, esses cookies têm uma data de expiração após a qual o usuário será solicitado a fazer login.
Os "cookies persistentes" permitem acesso contÃnuo aos serviços do Google, mesmo depois que o usuário redefina sua senha. Uma Conta do Google fornece acesso a serviços do Google, como Gmail, Google Agenda e Google Maps, mas também ao Google Ads e ao YouTube.
Em nota, o Google respondeu:
"Atualizamos rotineiramente nossas defesas contra essas técnicas e para proteger os usuários que são vÃtimas de malware. Neste caso, o Google tomou medidas para proteger todas as contas comprometidas detectadas."
No entanto, alguns ladrões de informações já teriam sido atualizados para combater as medidas de detecção de fraude do Google. Fontes familiarizadas com esse problema disseram ao BleepingComputer que o Google acredita que a API está funcionando como pretendido e que nenhuma vulnerabilidade está sendo explorada pelo malware, o que implica que o Google não está trabalhando em uma correção mais permanente para esse problema.
Revisar dispositivos
Para verificar se alguém acessou sua conta, você pode ver quais computadores, telefones ou outros dispositivos fizeram login na sua Conta do Google recentemente.
1. Acesse sua Conta do Google.
2. No painel de navegação esquerdo, selecione Segurança .
3. No painel "Seus dispositivos", selecione Gerenciar todos os dispositivos.
4. Você verá os dispositivos em que está conectado à sua Conta do Google ou esteve nas últimas semanas. Para obter mais detalhes, selecione um dispositivo ou uma sessão.
5. Os dispositivos ou sessões em que você está desconectado terão uma indicação "Desconectado".
6. Se aparecerem várias sessões para o mesmo tipo de dispositivo, todas elas poderão estar em um ou vários dispositivos. Reveja os respetivos detalhes e, se não tiver a certeza de que todas as sessões são dos seus dispositivos, termine sessão nos mesmos.
Corrigir
Se você acha que sua conta foi comprometida, você terá que sair de todos os navegadores para invalidar os tokens de sessão atuais e, em seguida, redefinir sua senha. Em seguida, você precisará fazer login novamente para gerar novos tokens. Somente isso interrompe o acesso não autorizado, pois invalida os tokens antigos.
As etapas descritas abaixo são para administradores que gerenciam Contas do Google de uma empresa, escola ou outro grupo. Como administrador, você pode desconectar um usuário de uma Conta do Google gerenciada, como o Google Workspace ou o Cloud Identity.
Para repor os cookies de inÃcio de sessão de usuário:
1. Faça login no Google Admin Console. Entre usando uma conta de administrador, não sua conta atual.
2. No Admin Console, acesse Menu > Diretório > usuários.
3. Na lista Usuários, localize o usuário. Se precisar de ajuda, vá para Localizar uma conta de usuário.
4. Clique no nome do usuário para abrir a página da conta do usuário.
5. Clique em Segurança > Cookies de entrada > Redefinir.
Este é mais um exemplo, onde hackers se reinventam e encontram brechas todos os dias, portanto é impressidivel soluções avançadas de segurança para proteger sua Empresa.
Fale conosco e descubra como reduzir riscos e superficie de ataque.