Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Token OAuth Eterni: il nuovo bypass MFA che apre Google Workspace e Microsoft 365 agli attaccanti
Nel 2026 la sicurezza cloud non si gioca solo su password e MFA. Un punto cieco sempre più sfruttato dagli attaccanti sono i token OAuth persistenti rilasciati quando i dipendenti collegano strumenti di AI, automazione e app di produttività a Google Workspace o Microsoft 365.
Questi grant OAuth spesso non hanno una scadenza automatica, non vengono ripuliti quando una persona lascia l’azienda e non si annullano quando cambia la password. Risultato: se un token finisce nelle mani sbagliate, un attaccante può accedere ai dati senza eseguire un login tradizionale e senza essere fermato dalla MFA.
Il problema nasce dal modo in cui OAuth è progettato. In passato il modello funzionava per poche integrazioni approvate dall’IT, ad esempio per il calendario. Oggi invece ogni team collega in autonomia nuove applicazioni, e ogni collegamento genera un token con permessi specifici ma duraturi, con scarsa visibilità centralizzata. Non è una semplice cattiva configurazione, è un rischio strutturale che molti programmi di sicurezza non hanno gestito su larga scala.
Le organizzazioni lo sanno, ma spesso non agiscono. Molti responsabili considerano i grant OAuth non gestiti un rischio critico o significativo, eppure una parte consistente non monitora affatto questi accessi. Altri si affidano a revisioni manuali, fogli di calcolo e controlli sporadici. In ottica cybersecurity, un foglio di calcolo non è una capacità di risposta alle minacce, è solo un inventario incompleto di esposizioni potenziali.
Il rischio non è teorico. Un caso emblematico ha mostrato come token di refresh OAuth validi possano essere usati per entrare in ambienti Salesforce di centinaia di aziende, superando completamente la MFA. La dinamica è insidiosa: integrazione legittima, token legittimo, ma credenziali dell’app o token sottratti e riutilizzati per esportare dati e cercare ulteriori segreti come chiavi cloud e password.
Per ridurre il rischio OAuth servono tre elementi:
- Monitoraggio continuo del comportamento reale delle app tramite le chiamate API.
- Valutazione del blast radius in base a quanto è sensibile l’account collegato.
- Risposte graduate con revoca immediata nei casi ad alto rischio e revisione umana per integrazioni critiche con segnali deboli.