Lỗ hổng bảo mật khiến hàng nghìn tài khoản Google Workspace bị hack

www.tuoitre.vn -   31/07/2024 12:00:00 108

Trong khi thế giới chưa hết quay cuồng vì sự cố CrowdStrike, một nền tảng dịch vụ phần mềm hỗ trợ công việc lớn khác là Google Workspace gần đây cũng đã phải đối mặt với một vấn đề bảo mật nghiêm trọng liên quan đến tài khoản người dùng.

Lỗ hổng bảo mật khiến hàng nghìn tài khoản Google Workspace bị hack

Google Workspace là một dịch vụ cho phép doanh nghiệp tạo địa chỉ email chuyên nghiệp bằng tên miền của công ty, chẳng hạn như abc@tencongty.com. Ngoài ra, các doanh nghiệp cũng có thể truy cập Google Drive, lịch Gmail, Google Meet, v.v. thông qua tài khoản Google Workspace.

Đội ngũ bảo mật của Google gần đây phát hiện ra rằng tin tặc có thể bỏ qua hệ thống xác minh email, vốn là một yêu cầy cần thiết để tạo tài khoản Google Workspace. Ví dụ: nếu bạn muốn tạo tài khoản Google Workspace cho abc@tencongty.com, trước tiên bạn cần xác minh rằng địa chỉ email đó thuộc về mình. Tuy nhiên, tin tặc đã tìm được ra mánh khóe bỏ qua yêu cầu cơ bản này. Tệ hơn nữa, tài khoản Google Workspace đã tạo có thể được sử dụng tại các dịch vụ của bên thứ ba cho phép sử dụng tính năng "Sign in with Google" làm cơ chế đăng nhập.

Dưới đây là cách tin tặc vượt qua xác minh email cho tài khoản Google Workspace:

Lỗ hổng bảo mật khiến hàng nghìn tài khoản Google Workspace bị hack

- Google cung cấp tài khoản dùng thử Workspace miễn phí cho phép người dùng dùng thử các dịch vụ như Google Docs.

- Tuy nhiên, để tạo tài khoản Workspace có Gmail và các dịch vụ phụ thuộc vào tên miền, cần phải xác minh email.

- Tin tặc đã tạo một yêu cầu được xây dựng cụ thể để tránh xác minh email trong quá trình đăng ký.

- Tin tặc sẽ sử dụng một địa chỉ email để thử đăng nhập và một địa chỉ email hoàn toàn khác để xác minh mã thông báo.

- Sau khi xác minh email, trong một số trường hợp, hacker có thể truy cập vào các dịch vụ của bên thứ ba bằng cách sử dụng tính năng đăng nhập một lần của Google.

Google đã xác nhận sự cố bắt đầu vào cuối tháng 6, ảnh hưởng đến "vài nghìn" tài khoản Workspace, và họ đã khắc phục thành công vấn đề trong vòng 72 giờ sau khi phát hiện ra. Công ty cũng xác nhận đã bổ sung thêm tính năng phát hiện để bảo vệ chống lại các loại hình bỏ qua xác thực dạng này.

Tuy nhiên theo báo cáo của một số người dùng, có vẻ như vấn đề bỏ qua xác minh email đã diễn ra trong hơn một tháng. Có một trường hợp người dùng đã bị ảnh hưởng bởi sự cố này vào ngày 6 tháng 6, không phải là cuối tháng như Google tuyên bố. Một người dùng khác trên diễn đàn KrebsOnSecurity có tên David Keaton tuyên bố đã gặp phải sự cố với Google vào ngày 7 tháng 6.

Việc Google thiếu minh bạch về mốc thời gian và mức độ đầy đủ của lỗ hổng bảo mật Workspace làm dấy lên mối lo ngại. Một thông báo công khai rõ ràng và chi tiết, bao gồm các bước chủ động được thực hiện để ngăn chặn các vi phạm trong tương lai, sẽ là cách tiếp cận có trách nhiệm hơn. Ngoài ra, việc thừa nhận vấn đề bằng một bài đăng trên blog chính thức sẽ giúp Google chứng minh cam kết của công ty về tính minh bạch và sự tin tưởng của người dùng.Dùng máy tính Windows rất thường gặp những lỗi này

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 66
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 64
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 61
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 64
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 41
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 30
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ