Phát hiện rủi ro chưa có cách khắc phục khi đăng nhập với tài khoản Google?

Đăng nhập vào một trang web bằng tùy chọn "Sign In With Google" thực sự tiện lợi, đến mức bạn có thể đã sử dụng nó hàng trăm lần rồi. Tuy nhiên, các nhà nghiên cứu đã phát hiện ra rằng việc sử dụng tính năng này với tư cách là nhân viên của một doanh nghiệp có thể khiến bạn có nguy cơ bị xâm phạm quyền riêng tư và tệ hơn nữa là vẫn chưa có cách khắc phục

Tính năng "Sign In With Google" để lại dấu vết từ những user trước đó trong domain

Theo báo cáo của Trufflesecurity, một lỗ hổng trong hệ thống OAuth của Google đã được phát hiện. Lỗ hổng này ảnh hưởng đến bất kỳ ai đã làm việc cho một công ty cho phép nhân viên của mình sử dụng thông tin đăng nhập "Sign In With Google" và hiện đã ngừng hoạt động.

Vấn đề ở đây là khi bạn là nhân viên của một công ty và bạn sử dụng tính năng "Sign In With Google" để đăng nhập vào một ứng dụng như Slack bằng tài khoản doanh nghiệp của mình, ứng dụng sẽ nhận được hai dữ liệu: Domain và địa chỉ email. Nếu ứng dụng nhận được cả hai dữ liệu này, nó sẽ cho phép người dùng đăng nhập.

Phần "domain" là tên miền của doanh nghiệp, cho ứng dụng biết rằng bạn là nhân viên của công ty cụ thể đó. Tuy nhiên, nếu công ty đóng cửa, kẻ xấu có thể mua và chiếm quyền sở hữu domain chưa sử dụng. Nếu doanh nghiệp không "dọn dẹp" đúng cách trước khi đóng cửa, kẻ xấu có thể tạo lại địa chỉ email của nhân viên và sử dụng chúng để đăng nhập vào các dịch vụ của bên thứ ba.

May mắn thay, kẻ xấu không thể vào tài khoản Gmail cũ của doanh nghiệp và đọc email của họ, nhưng Trufflesecurity phát hiện ra rằng nó có thể truy cập vào tài khoản của nhân viên cũ trên ChatGPT, Slack, Notion, Zoom, hệ thống HR, v.v... Và trong khi tất cả các tài khoản này có thể lưu trữ dữ liệu nhạy cảm, thì hệ thống HR là nguy hiểm nhất vì chúng chứa những thông tin như số an sinh xã hội và thông tin ngân hàng.

Thật không may, khi lần đầu tiên lỗ hổng này được báo cáo, Google đã đổ lỗi cho các công ty vì không xóa dữ liệu của họ đúng cách. Tuy nhiên, sau khi Trufflesecurity demo cuộc tấn công trong Shmoocon (mà bạn có thể thấy trong video ở trên tại mốc 5:34:00), Google sẽ phải xem xét lại.

Trong thời gian chờ đợi, nếu bạn sử dụng "Sign In With Google" khi làm việc cho một công ty đã đóng cửa, dữ liệu của bạn có thể bị tấn công. Hãy theo dõi thông tin chi tiết của bạn và sẵn sàng khắc phục sự cố nếu bạn nhận thấy có vi phạm dữ liệu. Và ngay cả khi bạn không bao giờ sử dụng tính năng đăng nhập tiện dụng trong khi làm việc, vẫn có rất nhiều lý do tại sao bạn không nên sử dụng "Sign In With Google" trên bất kỳ trang web nào nữa.