Сегодня поноем про дыры в безопасности.

Весь мир обсуждает дыру в безопасности авторизации с помощью сервисов google. Если совсем по-простому, то когда собственник стартапа потерял права на домен - ряд сервисов позволяет злоумышленникам как минимум получить данные типа organization wide, а в случае использования учетных записей типа admin@tothemoon.io для управления сторонними сервисами - и к более ценной информации.

При этом решение на поверхности, и оно сугубо организационное:

1) строго дозируйте доступ к данным - в любой организации практически нет информации, которую должен знать каждый сотрудник

2) при увольнении сотрудника - обрубайте активные сессии пользователя на сторонних сервисах и переносите его облачные данные доверенному хранителю в пределах организации

3) при закрытии бизнеса обнулите кросс-доменные политики авторизации

4) перед сдачей домена спилите все ключи spf/dkim

5) перед закрытием стартапа оплатите домен на три года вперед чтобы уж наверняка все доверенные сессии сами умерли

Но, как мы понимаем, история успешного успеха не терпит протоколирования и регламентов (сарказм).