Un amico ha recentemente perso un saas di tre anni.
ha ricevuto un'email da google: "il tuo account è stato sospeso per violazione delle nostre politiche."
nessun dettaglio. nessun numero di riferimento. nessun umano collegato. otto anni di gmail, spariti. youtube, sparito. drive, sparito. acquisti sul play store, spariti. il piccolo saas che gestiva da tre anni, sparito, perché ogni singolo pezzo del suo stack era incollato a quell'unico account.
non riesce ad accedere a notion. tre anni di specifiche di prodotto, note sui clienti, progetti di contratto, accordi con i fornitori, previsioni finanziarie. tutto questo viveva dietro "accedi con google."
non può accedere a figma. sistema di design, asset del brand, ogni mockup che avesse mai fatto. stessa storia.
lineare. roadmap, ogni bug, ogni ticket cliente. lo stesso.
vercel. il suo deployment di produzione era legato a un account github il cui email di recupero era il gmail morto. può ancora vedere che il sito è attivo. semplicemente non può toccarlo.
stripe. non può vedere pagamenti, non può rimborsare, non può nemmeno leggere il suo MRR. il percorso di autenticazione del dashboard passava attraverso google.
lui ancora non sa cosa ha fatto di sbagliato. google non gliel'ha mai detto.
la lezione principale qui è che non dovresti accedere con google, ecco i motivi principali.
1/ non possiedi il tuo login. lo affitti da google.
quando clicchi su "accedi con google", non stai creando un account sull'app. stai dicendo all'app "google garantirà per me." il che significa: finché google garantisce per te, hai un account. il giorno in cui google smette di garantire, non lo hai più.
non c'è contratto. non c'è SLA. non c'è tribunale a cui puoi appellarti. c'è un modulo, e il modulo è letto da un modello, e il modello dice di no.
il caso famoso è andrew spinks, lo sviluppatore di terraria. 15 anni su gmail. account disabilitato a gennaio 2021 senza spiegazione. ha perso youtube, drive, ogni acquisto del play store che aveva fatto. l'ha riottenuto, ma solo dopo aver cancellato pubblicamente il porting stadia del suo gioco e la storia è diventata virale. il normale processo di appello non ha fatto nulla per lui. non è progettato per.
2/ un account, un colpo.
la gente vende l'sso come "più sicuro delle password." è falso.
accedi con google vs. un gestore di password + un alias unico per sito + una chiave hardware 2fa: l'sso perde su ogni asse tranne che sulla comodità. rischio distribuito per rischio concentrato. statisticamente, la perdita attesa è la stessa. emotivamente e operativamente, non è nemmeno paragonabile. perdere 1/20 del tuo stack fa male. perdere 20/20 chiude la tua attività.
ogni persona della sicurezza lo sa.
3/ il difetto oauth del fallimento delle startup, e google ha detto "non lo risolverà".
nel gennaio 2025, truffle security ha divulgato un difetto nel modo in cui google's oauth gestisce i cambiamenti di proprietà del dominio.
quando una startup muore, il suo dominio va sul mercato aperto. qualcuno lo compra per $12. crea google workspace su quel dominio. ricrea le vecchie email dei dipendenti, alice@deadstartup..., bob@deadstartup...
ora vanno su slack. notion. zoom. chatgpt. cliccano su "accedi con google" come alice. e sono dentro. nei dati della vecchia azienda. perché slack e notion controllano solo l'email e la rivendicazione del dominio google, nessuna delle quali è cambiata.
la prima risposta di google è stata chiudere il rapporto come "non lo risolverà" e classificarlo come "frode e abuso" piuttosto che un bug oauth. lo hanno riaperto solo dopo che il discorso degli ricercatori alla shmoocon è stato accettato e la storia è diventata virale. bounty finale: $1,337. un importo meme per un difetto su scala industriale.
se "accedere con google" avesse una vulnerabilità che consente a un acquisto di dominio da $12 di sbloccare il tuo vecchio sistema HR, quali altre scelte architettoniche sta facendo lo stesso team?
4/ la reimpostazione della password non ti salva più.
la maggior parte delle persone, quando sentono "compromissione dell'account google", pensano: cambia la password, reimposta le sessioni, fatto.
non funziona più.
alla fine del 2023, i ricercatori hanno trovato un endpoint oauth di google non documentato chiamato multilogin che, dato un token di aggiornamento, rigenera cookie di sessione freschi. entro il 2024, oltre dieci famiglie di malware lo avevano integrato, lumma, rhadamanthys, i soliti sospetti. rubano il token da chrome, rigenerano i cookie e mantengono viva la tua sessione.
anche dopo aver reimpostato la tua password.
l'unica vera soluzione è revocare manualmente ogni sessione attiva e ogni concessione oauth di terze parti dalla tua pagina di sicurezza google. cosa che nessuno fa, perché nessuno sa che è ciò che devono fare.
5/ il phishing del consenso mangia il tuo 2fa.
il secondo pezzo del mito della sicurezza è "ho il 2fa, sto bene."
il phishing del consenso bypassa completamente il 2fa.
l'attaccante non prova ad autenticarsi come te. mette su uno schermo di consenso google reale, il vero dominio google, certificato valido, il tuo vero account già loggato, e ti chiede di concedere alla loro app malevola un permesso come "leggi la tua email" o "gestisci il tuo drive." tocchi consenti. Ora hai dato a uno sconosciuto un token con il permesso esatto che hanno chiesto, firmato da Google, valido per mesi.
la tua password non ha aiutato. il tuo 2fa non ha aiutato. non ti è mai stato chiesto di autenticarti. ti è stato chiesto di autorizzare. meccanismo completamente diverso.
il furto di token ha rappresentato il 31% delle violazioni di microsoft 365 nel 2025. a marzo dello stesso anno, gli attaccanti hanno pivotato il phishing con codice dispositivo su google. ad agosto, la violazione salesloft/drift ha raccolto token oauth per le integrazioni salesforce e google workspace su larga scala.
6/ il pulsante ti traccia che tu lo clicchi o no.
il pulsante "accedi con google" non è un'immagine. è uno script ospitato da google. ogni pagina che ha il pulsante sta caricando codice dai server di google, il che significa che google vede il caricamento della pagina, il referrer, l'user agent, e, se sei loggato in google in un'altra scheda, esattamente chi sei.
non devi cliccarci sopra. devi solo caricare una pagina che ce l'ha.
apple ha risolto un problema diverso con "accedi con apple", il relay nascondi la mia email, dove ogni app riceve un alias di inoltro unico. google non ha un equivalente. la tua vera email principale va a ogni app, per sempre, e quell'email è la chiave master per ogni reimpostazione di password che farai mai.
7/ la comodità è reale.
l'sso è più conveniente. un clic, nessun modulo di registrazione, nessuna nuova password da ricordare. per servizi a basso rischio, un'app podcast, un sito di notizie, uno strumento casuale, quella comodità vale.
il problema è che le persone non si organizzano. usano lo stesso login google per l'app podcast, la stripe aziendale, il portale del commercialista freelance e il fintech vicino alla banca e il provider cloud. e lo fanno perché il clic è lo stesso in ogni caso.
la regola giusta non è "non usare mai l'sso." è: se perdere l'accesso a questo servizio per 30 giorni danneggerebbe il tuo lavoro o il tuo denaro, non usare l'sso. crea un vero account. usa un gestore di password. usa un'email alias di fastmail, proton, o il relay di apple. imposta il 2fa con una chiave hardware.
per tutto il resto, l'sso va bene. basta smettere di trattarlo come il default.
cosa fare
controlla. apri myaccount[.]google[.]com/connections. guarda ogni app a cui hai concesso accesso. revoca tutto ciò che non riconosci o non hai usato negli ultimi sei mesi.
separa. tutto ciò che tocca i tuoi soldi o il tuo lavoro, stripe, il tuo registrar di dominio, il tuo provider cloud, il tuo software di contabilità, il tuo slack, non dovrebbe autenticarsi tramite google. punto. vero account, vera password, vero 2fa.
alias. smettila di dare la tua vera email a ogni app. proton, fastmail, simplelogin e il relay di apple generano tutti alias per app. se uno trapela, bruci quell'alias e vai avanti.
rompi la catena di recupero. il tuo gestore di password, i tuoi account cloud, il tuo registrar di dominio, nessuna delle loro email di recupero dovrebbe puntare al tuo gmail. se il tuo gmail muore domani, dovresti ancora essere in grado di recuperare tutto ciò che conta.
supponi il peggior caso. siediti per dieci minuti e chiediti: se il mio account google sparisse stasera, cosa perderei?
Credito: The smart