cong-nghe

Rủi ro bảo mật từ việc đóng tài khoản Google Workspace của các startup thất bại

Rủi ro bảo mật từ việc đóng tài khoản Google Workspace của các startup thất bại
Kẻ hái lúa sau: Tên miền Google Apps bỏ hoang dễ bị lợi dụng!

Nhiều startup sử dụng Google Workspace cho công việc văn phòng, và cũng sử dụng tính năng "Đăng nhập bằng Google" cho các ứng dụng web khác. Tuy nhiên, khi startup thất bại và tên miền bị bán, việc không đóng tài khoản Google Workspace đúng cách có thể tạo ra lỗ hổng bảo mật nghiêm trọng.

Một chuyên gia bảo mật đã chỉ ra rằng việc mua lại tên miền của một startup đã ngừng hoạt động có thể cho phép kích hoạt lại tài khoản Google của các nhân viên cũ. Điều này xuất phát từ việc nhiều startup không thực hiện đúng quy trình đóng tài khoản trên Google và các ứng dụng web khác trước khi để tên miền hết hạn.

Với quyền quản trị viên của các tài khoản này, kẻ xấu có thể truy cập vào nhiều dịch vụ mà startup đã sử dụng thông qua "Đăng nhập bằng Google", chẳng hạn như Slack, ChatGPT, Zoom và hệ thống nhân sự. Chuyên gia này đã thực hiện thử nghiệm và truy cập thành công vào các tài liệu thuế, thông tin phỏng vấn xin việc và tin nhắn riêng.

Google khuyến nghị người dùng nên đóng tài khoản Google Workspace đúng cách theo hướng dẫn để tránh vấn đề này. Tuy nhiên, việc chỉ hủy Google Workspace không đồng nghĩa với việc xóa tài khoản người dùng. Các tài khoản này vẫn tồn tại cho đến khi toàn bộ tài khoản Google của tổ chức bị xóa.

Mặc dù phương pháp này không cho phép truy cập trực tiếp vào dữ liệu trong tài khoản Google, nhưng nó cho phép truy cập vào dữ liệu trên các nền tảng bên thứ ba. Điều này không chỉ ảnh hưởng đến các startup mà còn ảnh hưởng đến bất kỳ tên miền nào sử dụng tài khoản Google Workspace để xác thực với các dịch vụ bên thứ ba mà không xóa tài khoản Google trước khi bán tên miền.

Chuyên gia bảo mật đã báo cáo vấn đề này cho Google, nhưng ban đầu Google cho rằng đây là "hành vi dự kiến" và không phải là lỗi. Tuy nhiên, sau đó Google đã mở lại cuộc điều tra, trao thưởng cho chuyên gia và thừa nhận đây là một phương pháp lạm dụng có tác động cao. Google cũng nhấn mạnh việc sử dụng mã định danh người dùng duy nhất ("sub") để giảm thiểu rủi ro này.

Tuy nhiên, chuyên gia bảo mật cho rằng giá trị "sub" không phải lúc nào cũng đáng tin cậy và đề xuất Google nên bổ sung thêm các mã định danh bất biến khác liên kết với người dùng và tên miền. Việc này sẽ giúp tăng cường bảo mật và ngăn chặn việc truy cập trái phép vào các tài khoản và dịch vụ liên quan.

Việc đóng tài khoản Google Workspace đúng cách là vô cùng quan trọng đối với các startup và doanh nghiệp khi ngừng hoạt động. Việc bỏ qua bước này có thể dẫn đến rủi ro bảo mật đáng kể, cho phép kẻ xấu truy cập vào thông tin nhạy cảm. Người dùng nên tuân thủ các hướng dẫn của Google và cân nhắc các giải pháp bảo mật bổ sung để bảo vệ dữ liệu của mình.

Read more