DeepL:

Hier liegt das Problem: Googles OAuth-Anmeldung schützt nicht davor, dass jemand die Domain eines gescheiterten Startups kauft und sie verwendet, um E-Mail-Konten für ehemalige Mitarbeiter neu zu erstellen. Und während Sie nicht auf alte E-Mail-Daten zugreifen können, können Sie diese Konten verwenden, um sich bei all den verschiedenen SaaS-Produkten anzumelden, die das Unternehmen verwendet hat.

Ich habe nur eine dieser nicht mehr existierenden Domains gekauft und festgestellt, dass wir durch die Anmeldung bei den folgenden Diensten Zugriff auf alte Mitarbeiterkonten hatten:
ChatGPT
Slack
Notion
Zoom
HR-Systeme (mit Sozialversicherungsnummern)
Mehr…
Zu den sensibelsten Konten gehörten die HR-Systeme, die Steuerdokumente, Gehaltsabrechnungen, Versicherungsinformationen, Sozialversicherungsnummern usw. enthielten. Vorstellungsgesprächsplattformen enthielten ebenfalls sensible Informationen über Bewerber-Feedback, Angebote und Ablehnungen. Und natürlich enthielten Chat-Plattformen Direktnachrichten und alle Arten von sensiblen Informationen, die ein Angreifer niemals in die Hände bekommen sollte.