Luka zero-day nazwana „GhostToken” w Google Cloud Platform została wykryta przez badaczy Astrix Security i umożliwiła hakerom dostęp do danych użytkownika w wielu usługach Google, takich jak Gmail, Dysk, Zdjęcia i Kalendarz. Luka została oparta na błędzie w przetwarzaniu tokenów OAuth, który pozwolił atakującym ukryć trwałe złośliwe oprogramowanie na zhakowanym koncie Google. Szkodnik ten nie tylko umożliwiał hakerom uzyskanie dostępu do danych użytkownika, ale także przeprowadzał ataki phishingowe, a nawet narażał ofiary na fizyczne niebezpieczeństwo.

Luka była oparta na fakcie, że programiści mogli odzyskać projekt GCP do 30 dni po jego usunięciu. Spowodowało to również reaktywację tokena odświeżania OAuth, który został wystawiony przed usunięciem, i umożliwiło aplikacji pobranie nowego tokena dostępu z serwera. Dane użytkowników, którzy wcześniej przyznali aplikacji dostęp do swojego konta Google, były w ten sposób ponownie dostępne. Aplikacja była jednak niewidoczna i nie można jej było usunąć z zarządzania kontem.


Hakerzy wykorzystali tę lukę, wdrażając pozornie nieszkodliwą aplikację OAuth w różnych sklepach z aplikacjami i nakłaniając swoje ofiary do zezwolenia oprogramowaniu na dostęp do ich danych Google. Następnie usunęli projekt GCP, a później mogli go tymczasowo przywrócić, aby uzyskać nowy token dostępu i uzyskać dostęp do danych użytkownika. W tym ograniczonym przedziale czasowym użytkownicy prawie nie mieli szans na zablokowanie ponownego dostępu.

Jednak Google podjął działania na początku kwietnia, a także uwidocznił usunięte aplikacje w zarządzaniu aplikacjami użytkowników, dopóki można je odzyskać. Dzięki temu użytkownicy mogą w dowolnym momencie cofnąć hakerowi uprawnienia do konta Google.


Ta luka ponownie pokazuje znaczenie skutecznych środków bezpieczeństwa i regularnych aktualizacji w celu ochrony danych użytkowników. Ważne jest, aby użytkownicy uważali, którym aplikacjom zezwalają na dostęp do swoich danych i regularnie sprawdzali swoje konta pod kątem podejrzanej aktywności. Organizacje muszą również upewnić się, że ich programiści wdrożyli skuteczne protokoły bezpieczeństwa, aby uniknąć takich luk.