當全世界都在為最近由錯誤更新導致的CrowdStrike 故障而感到震驚時，Google最近又面臨著一個與Workspace 帳戶相關的重大安全問題。 Google Workspace 主要服務於企業，允許其使用公司網域創建自己的電子郵局，如alex@companydomain.com ，企業還可以透過Google Workspace 帳戶存取Google Drive、Gmail 日曆、Google Meet 等。

Google最近發現，駭客能夠繞過創建Google工作空間帳戶所需的電子郵件驗證系統。例如，如果你想建立一個alex@microsoft.com的Google Workspace 帳戶，首先需要驗證電子郵件地址是否屬於你。然而，駭客繞過了這項基本要求。更糟的是，已建立的Google Workspace 帳戶可以在允許使用”用Google 登入”作為登入機制的第三方服務中使用。

Google透過電子郵件向受影響的用戶發送了以下聲明：

“在過去幾周里，我們發現了一個小規模的濫用活動，不良分子透過使用特殊構建的請求，規避了電子郵件驗證（EV）Google Workspace 帳戶創建流程中的電子郵件驗證步驟。然後，這些EV使用者可以使用’Sign In with Google’存取第三方應用程式。

Google透露，該問題始於6 月下旬，影響了”數千個”Workspace 帳戶，他們在發現問題後72 小時內就修復了該問題，並增加了額外的檢測機制，以防止此類身份驗證繞過。

駭客是如何繞過Google Workspace 帳戶的電子郵件驗證的：

• Google提供免費的Workspace 試用帳戶，讓使用者試用Google文件等服務。
• 不過，要建立一個擁有Gmail 和依賴網域的服務的Workspace 帳戶，則需要進行電子郵件驗證。
• 駭客在註冊過程中創建了一個專門建置的請求，以規避電子郵件驗證。
• 駭客會使用一個電子郵件地址嘗試登錄，並使用完全不同的電子郵件地址驗證令牌。
• 一旦他們的電子郵件通過驗證，在某些情況下，我們會看到他們使用Google單一登入存取第三方服務。

在Hacker News和Krebs on Security 的評論區，不同的Google Workspace 帳戶持有者發表了不同的評論。看起來，電子郵件驗證繞過問題已經持續了一個多月。

一位用戶在6 月6 日受到了該問題的影響，這並不是Google所說的6 月下旬。一位名叫大衛-基頓（David Keaton）的評論者稱，他在2012 年和2023 年7 月都遇到類似的問題。另一位評論者稱，他也是在6 月7 日向Google報告了這個問題；請閱讀下面他的真實評論：

“Google所說的根本不是事實。攻擊大約從6 月初開始。我是當時的受害者之一。更有甚者，我有一個6 月7 日的buganizer 票號，上面有最初的發現。大約一個月後才被修復。

Google對Workspace 安全漏洞的時間表和全部程度缺乏透明度，這一點令人擔憂。更負責任的做法是明確而詳細地公開披露訊息，包括為防止未來漏洞而採取的積極措施。此外，透過正式的部落格文章來承認這個問題，也將表明Google對透明度和用戶信任的承諾。