资安业者Truffle Security在Google提供的OAuth身分验证机制（以Google帐号登入）发现弱点，假如使用者曾在新创公司任职，而且该公司已结束营运的状态，那么他们的资料就有可能遭到洩露。

Truffle Security执行长兼联合创办人Dylan Ayrey指出，，他起初曾藉此成功登入不属于自己的帐号，以便向Google展示弱点，但得到的回应竟是这些行为「如预期运作（working as intended）」。

之所以存在此项弱点，在于Google对于OAuth身分验证机制的管制不当，一旦有人试图买下结束营业的公司网域，并用来重新建立员工的电子邮件帐号，就有机会利用这些帐号登入该公司曾经使用的SaaS服务。

为何Dylan Ayrey会察觉OAuth验证有弱点？因为他曾买下一个弃用的公司网域，并发现能够用来存取该公司员工的ChatGPT、Slack、Notion、Zoom、人资系统的帐号。其中最敏感的SaaS服务莫过于人资系统，因为内含税务文件、薪资、保险资讯、社会安全码等详细个资。

究竟这样的弱点影响範围有多大？Dylan Ayrey指出，根据统计，有6百万美国人在科技新创公司工作，其中有9成失败、结束营业，而这些新创有半数採用Google Workspaces建置电子邮件系统。而且，根据知名创业公司资料库网站Crunchbase的记录显示，有超过10万个收山的新创公司闲置网域，假设这些公司平均有10个员工，并採用10种SaaS服务，那么这项弱点将有可能让1千万个帐号资料曝光。

去年9月Dylan Ayrey向Google通报此事，并提出缓解措施，起初Google回覆这项问题涉及诈欺与滥用，而非OAuth登入瑕疵，所以，他们不予修补，等到12月9日，Dylan Ayrey确定会在隔年1月美国骇客大会ShmooCon 2025发表这个漏洞的演讲之后，10天后，Google终于改变主意，决定重新启动调查并颁发1,337美元抓漏奖励，承诺将修复这项弱点，但究竟他们打算如何处理？Google并未向研究人员透露。