Сегодня поноем про дыры в безопасности.
Весь мир обсуждает дыру в безопасности авторизации с помощью сервисов google. Если совсем по-простому, то когда собственник стартапа потерял права на домен - ряд сервисов позволяет злоумышленникам как минимум получить данные типа organization wide, а в случае использования учетных записей типа admin@tothemoon.io для управления сторонними сервисами - и к более ценной информации.
При этом решение на поверхности, и оно сугубо организационное:
1) строго дозируйте доступ к данным - в любой организации практически нет информации, которую должен знать каждый сотрудник
2) при увольнении сотрудника - обрубайте активные сессии пользователя на сторонних сервисах и переносите его облачные данные доверенному хранителю в пределах организации
3) при закрытии бизнеса обнулите кросс-доменные политики авторизации
4) перед сдачей домена спилите все ключи spf/dkim
5) перед закрытием стартапа оплатите домен на три года вперед чтобы уж наверняка все доверенные сессии сами умерли
Но, как мы понимаем, история успешного успеха не терпит протоколирования и регламентов (сарказм).