セキュリティ企業Truffle Securityは1月14日、グーグルの「Googleでサインイン」に重大な脆弱性が存在することを公表した。倒産したスタートアップのドメインを取得することで、元従業員のアカウントに不正アクセスできる可能性があるという。
同社は実際に倒産企業のドメインを購入し、ChatGPTやSlack、Notion、Zoomなど複数のサービスで元従業員のアカウントにアクセスできることを確認。中には税務書類や給与明細、保険情報、社会保障番号など、機密性の高いデータも閲覧可能だったとしている。
Truffle Securityは、現在購入可能な倒産スタートアップのドメインが10万以上あると指摘。さらに、米国のテック系スタートアップの90%が最終的に倒産し、そのうち50%が「Google Workspace」を利用していると説明している。
この脆弱性は2024年9月30日にグーグルに報告されたが、当初は対応を拒否され、12月19日に再検討後、修正に着手したとされる。しかし、1月15日時点で修正はまだ実施されていない。