आपके कर्मचारियों ने पिछले साल 47 ऐप्स को गूगल से जोड़ा। क्या आप उनमें से किसी एक का नाम बता सकते हैं?

कर्मचारियों के नौकरी छोड़ने, पासवर्ड बदलने या ऐप्स के गलत तरीके से काम करने पर भी OAuth टोकन समाप्त नहीं होते। आपके सुरक्षा प्रोग्राम को इस जोखिम को समझना चाहिए और अनावश्यक और बंद हो चुके अधिकारों को जल्द से जल्द हटा देना चाहिए।

एक अतिरिक्त चाबी की कल्पना कीजिए। आपने छह महीने पहले इसे एक ठेकेदार को दिया था ताकि वह आपके हीटिंग, वेंटिलेशन और वेंटिलेशन सिस्टम की मरम्मत कर सके। काम पूरा हो गया। ठेकेदार चला गया। लेकिन चाबी अभी भी काम करती है, और आपने उसे वापस नहीं मांगा। कमोबेश यही होता है जब आपकी कंपनी में कोई व्यक्ति OAuth का उपयोग करके किसी थर्ड-पार्टी ऐप को Google Workspace या Microsoft 365 से कनेक्ट करता है। डिजिटल कुंजियाँ आपके कर्मचारियों द्वारा बनाई जाती हैं। इनकी कोई समय सीमा नहीं होती, और अधिकांश संगठनों में, कोई भी इन्हें ट्रैक नहीं करता, इनकी समीक्षा नहीं करता, और आवश्यकता न होने पर इन्हें हटाता भी नहीं है!

OAuth यह वह सिस्टम है जो आपकी टीम द्वारा प्रतिदिन क्लिक किए जाने वाले "Google से कनेक्ट करें" और "एक्सेस की अनुमति दें" बटनों के पीछे काम करता है। यह ऐप्स को आपका कैलेंडर पढ़ने, आपकी ओर से ईमेल भेजने या आपके क्लाउड स्टोरेज से डेटा प्राप्त करने की सुविधा देता है, वह भी आपके वास्तविक पासवर्ड को साझा किए बिना। यह बहुत अच्छा लगता है। लेकिन समस्या यह है कि इसके द्वारा बनाया गया एक्सेस टोकन आपके द्वारा ऐप के अस्तित्व को भूल जाने के बाद भी लंबे समय तक बना रहता है। किसी कर्मचारी के नौकरी छोड़ने पर यह रद्द नहीं होता। किसी के पासवर्ड बदलने पर भी यह रीसेट नहीं होता। आपका मल्टी-फैक्टर ऑथेंटिकेशन उस हमलावर को रोकने में कुछ भी नहीं कर पाता जिसके पास पहले से ही एक वैध टोकन मौजूद है।

कई संगठनों को इस समस्या के बारे में पता ही नहीं है। और इससे भी कम संगठन इसे ठीक करने की कोशिश कर रहे हैं।

से अनुसंधान सामग्री सुरक्षा एक अध्ययन में पाया गया कि 80% सुरक्षा विशेषज्ञ अनमैनेज्ड OAuth ग्रांट को एक गंभीर या महत्वपूर्ण जोखिम मानते हैं। यह संख्या कई वर्षों से उच्च बनी हुई है। हालांकि, जागरूकता मुख्य मुद्दा नहीं है, बल्कि इस खतरे को कम करना अधिक महत्वपूर्ण है। is.

45% तक कई संगठन बड़े पैमाने पर OAuth ग्रांट की निगरानी के लिए कुछ नहीं करते हैं।

33% तक स्प्रेडशीट और तदर्थ समीक्षाओं जैसे मैन्युअल ट्रैकिंग तरीकों पर निर्भर रहें

एक स्प्रेडशीट जो आपको बताती है कि किन ऐप्स को एक्सेस प्राप्त है, यह जानने के समान नहीं है कि वे ऐप्स उस एक्सेस का उपयोग कैसे कर रहे हैं। एक सूची है, दूसरा सुरक्षा से संबंधित है। फिलहाल, अधिकांश टीमों के पास केवल सूची ही है।

एक वास्तविक हमला जो पहले ही हो चुका है

2024 और 2025 में, UNC6395 नामक एक हमलावर (जिसकी निगरानी पालो ऑल्टो यूनिट 42 कर रही है) ने सेल्स एंगेजमेंट प्लेटफॉर्म ड्रिफ्ट से चुराए गए OAuth रिफ्रेश टोकन का उपयोग करके 700 से अधिक संगठनों के Salesforce सिस्टम तक पहुंच प्राप्त की। ड्रिफ्ट के उन Salesforce खातों से वैध OAuth कनेक्शन थे। हमलावर ने संभवतः पहले हुए फ़िशिंग हमलों के माध्यम से ये टोकन हासिल किए और सीधे सिस्टम में घुसपैठ कर ली।

इस हमले को इतना प्रभावी क्या चीज़ बनाती है?
कुछ भी संदिग्ध नहीं लग रहा था। टोकन वैध थे। ऐप भरोसेमंद था। लॉगिन हुआ ही नहीं क्योंकि हमलावर ने लॉगिन किया ही नहीं। उन्होंने एक मौजूदा टोकन प्रस्तुत किया जिसे इस्तेमाल करने की अनुमति पहले से ही ड्रिफ्ट को दी गई थी। मल्टी-फैक्टर ऑथेंटिकेशन (MFA) की कोई भूमिका नहीं थी क्योंकि कोई पासवर्ड दर्ज नहीं किया गया था। अंदर घुसने के बाद, UNC6395 ने डेटा निकाला और उसमें AWS कुंजी, स्नोफ्लेक टोकन और पासवर्ड जैसी जानकारी खोजी। क्लाउडफ्लेयर, पेजरड्यूटी और दर्जनों अन्य कंपनियां इसकी चपेट में आ गईं।

इसका मतलब यह नहीं है कि ड्रिफ्ट एक खराब ऐप था। इसका मतलब यह है कि इंस्टॉलेशन के समय भरोसेमंद दिखने वाला ऐप बाद में जोखिम बन सकता है अगर उसके क्रेडेंशियल्स चोरी हो जाएं। आपके सुरक्षा टूल को यह देखना चाहिए कि कनेक्टेड ऐप्स समय के साथ क्या कर रहे हैं, न कि सिर्फ यह कि उन्होंने शुरुआत में कौन सी अनुमतियां मांगी थीं।

अधिकांश सुरक्षा उपकरण इस बात को क्यों नज़रअंदाज़ करते हैं?

अधिकांश OAuth सुरक्षा उपकरण ऐप के कनेक्ट होते ही अपना काम शुरू कर देते हैं। वे जाँचते हैं कि क्या अनुरोधित अनुमतियाँ अत्यधिक तो नहीं हैं। वे अज्ञात विक्रेताओं के ऐप्स को चिह्नित करते हैं। यह वास्तव में उपयोगी है, और आपको ऐसा करना चाहिए। लेकिन यह अपने आप में पर्याप्त नहीं है।

उचित अनुमतियों वाला एक सुप्रसिद्ध और विश्वसनीय ऐप इन जांचों को आसानी से पास कर लेगा। अगर उस ऐप के क्रेडेंशियल छह महीने बाद चोरी हो जाते हैं, तो इंस्टॉलेशन के समय की समीक्षा में कुछ भी पता नहीं चलेगा। खतरा घटना घटने के बाद सामने आया।

अच्छी OAuth मॉनिटरिंग में वास्तव में क्या शामिल होता है

• ऐप के व्यवहार को समय के साथ देखना, न कि केवल सेटअप के समय। डेटा एक्सेस में अचानक वृद्धि, असामान्य समय पर क्वेरी करना, या ऐसे डेटा प्रकारों के लिए अनुरोध करना जिन्हें ऐप सामान्यतः अनदेखा करता है, ये सभी ध्यान देने योग्य हैं। स्थिर अनुमति समीक्षाएँ इन पैटर्न को कभी नहीं देख पातीं।
• यह समझना कि किसका खाता जुड़ा हुआ है। किसी कार्यकारी अधिकारी के संवेदनशील अनुबंधों से भरे इनबॉक्स से जुड़ा टोकन, किसी नए कर्मचारी के खाते से जुड़े उसी टोकन की तुलना में कहीं अधिक जोखिम भरा होता है। आपकी निगरानी में इस बात को ध्यान में रखना आवश्यक है कि कनेक्टेड खाता वास्तव में किन-किन चीजों तक पहुंच सकता है।
• सही गति से प्रतिक्रिया देना। एक ऐसा ऐप जो स्पष्ट रूप से दुर्भावनापूर्ण है, जिसका कोई ज्ञात विक्रेता नहीं है और जो पहले दिन से ही असामान्य व्यवहार कर रहा है, उस पर तत्काल कार्रवाई की आवश्यकता है। वहीं, एक विश्वसनीय एकीकरण जिसमें मामूली गड़बड़ी दिखाई देती है, उसकी पहले मानवीय समीक्षा की जानी चाहिए। आपकी प्रतिक्रिया प्रक्रिया को इन दोनों स्थितियों में अंतर करने में सक्षम होना चाहिए।

OAuth को सरल समय के लिए बनाया गया था।

जब OAuth को डिज़ाइन किया गया था, तब इसका सामान्य उपयोग कुछ चुनिंदा IT-अनुमोदित ऐप्स को साझा कैलेंडर तक सीमित पहुँच प्रदान करना था। यह एक प्रबंधनीय स्थिति थी। आज, प्रत्येक कर्मचारी अपने कार्य खातों से AI टूल्स, नोट लेने वाले ऐप्स, ऑटोमेशन प्लेटफॉर्म और उत्पादकता ऐड-ऑन को स्वतंत्र रूप से जोड़ता है। प्रत्येक कनेक्शन एक टोकन बनाता है। इनमें से कोई भी टोकन अपने आप समाप्त नहीं होता। अधिकांश संगठनों को यह भी नहीं पता होता कि उनके पास कितने टोकन हैं।

जैसे-जैसे कार्यस्थल में एआई उपकरण मानक बनते जाएंगे, आपके वातावरण में OAuth कनेक्शनों की संख्या बढ़ती जाएगी। कर्मचारियों को एआई उपकरणों के उपयोग से पूरी तरह रोकना व्यावहारिक नहीं है, और इससे ड्रिफ्ट हमले को भी नहीं रोका जा सकता था क्योंकि वह एक विश्वसनीय, अनुमोदित एकीकरण से शुरू हुआ था।

आप अभी क्या कर सकते हैं

सबसे पहले, अपने Google Workspace या Microsoft 365 वातावरण से जुड़े सभी OAuth ऐप्स की सूची बनाएं। दोनों प्लेटफॉर्म पर एडमिन बिना किसी थर्ड-पार्टी टूल के ऐसा कर सकते हैं। ऐसे ऐप्स ढूंढें जिन्हें आप नहीं पहचानते, ऐसे ऐप्स जो उन लोगों के खातों से जुड़े हैं जिन्होंने अपना सिस्टम छोड़ दिया है, और ऐसे ऐप्स जिनके पास "सभी ईमेल पढ़ें" या "सभी फ़ाइलें एक्सेस करें" जैसी बहुत व्यापक अनुमतियां हैं। समीक्षा करने और अनुमति रद्द करने के लिए ये आपकी पहली प्राथमिकता होनी चाहिए।

इसके बाद, हर तीन महीने में OAuth ग्रांट की समीक्षा करने की आदत डालें। शुरुआती सफाई के बाद इसमें उम्मीद से कम समय लगता है, और इससे लिस्ट दोबारा बेकाबू होने से बचती है। जब कर्मचारी कंपनी छोड़ते हैं, तो पासवर्ड रीसेट और अकाउंट डीएक्टिवेशन के साथ-साथ OAuth निरस्तीकरण को भी अपनी ऑफबोर्डिंग चेकलिस्ट में शामिल करें।

आपका साइबरहूट एक्शन स्टेप
इस सप्ताह, अपने Google एडमिन कंसोल या Microsoft Entra पोर्टल में लॉग इन करें और अपने सभी कनेक्टेड थर्ड-पार्टी ऐप्स की सूची निकालें। उन्हें गिनें। आप शायद हैरान रह जाएंगे। उनमें से पाँच ऐसे ऐप्स चुनें जो सबसे कम परिचित लगें और देखें कि उन्हें किन-किन चीज़ों का एक्सेस प्राप्त है। जिन ऐप्स का एक्सेस आपको नहीं देना चाहिए, उन्हें हटा दें। इस एक कदम से आपका संगठन आज ही काफी सुरक्षित हो जाएगा। जल्दी करें!

---

गूगल और माइक्रोसॉफ्ट की सहायता:

Google Workspace एडमिन कंसोल टोकन:

admin.google.com → Users → [User] → Security → Connected Applications

Microsoft Entra अनुमतियों की समीक्षा:

learn.microsoft.com/en-us/entra/identity/enterprise-apps/manage-application-permissions

---

सूत्रों का कहना है:

• हैकर न्यूज़: हमलावरों को जिस गुप्त सुरक्षा घेरे के बारे में पता है — और जिसे अधिकांश सुरक्षा टीमों ने अभी तक बंद नहीं किया है
• रेड कैनरी सप्लाई चेन OAuth हमले का विस्तृत विश्लेषण (उत्कृष्ट व्यावहारिक शिकार मार्गदर्शिका, अक्टूबर 2025)

---

साइबरहूट के साथ आज ही अपना व्यवसाय सुरक्षित करें!