Lỗ hổng bảo mật Google Workspace khiến hàng nghìn tài khoản người dùng bị tấn công

Trong khi thế giới chưa hết quay cuồng vì sự cố CrowdStrike, một nền tảng dịch vụ phần mềm hỗ trợ công việc lớn khác là Google Workspace gần đây cũng đã phải đối mặt với một vấn đề bảo mật nghiêm trọng liên quan đến tài khoản người dùng.

Google Workspace là một dịch vụ cho phép doanh nghiệp tạo địa chỉ email chuyên nghiệp bằng tên miền của công ty, chẳng hạn như abc@tencongty.com. Ngoài ra, các doanh nghiệp cũng có thể truy cập Google Drive, lịch Gmail, Google Meet, v.v. thông qua tài khoản Google Workspace.

Đội ngũ bảo mật của Google gần đây phát hiện ra rằng tin tặc có thể bỏ qua hệ thống xác minh email, vốn là một yêu cầy cần thiết để tạo tài khoản Google Workspace. Ví dụ: nếu bạn muốn tạo tài khoản Google Workspace cho abc@tencongty.com, trước tiên bạn cần xác minh rằng địa chỉ email đó thuộc về mình. Tuy nhiên, tin tặc đã tìm được ra mánh khóe bỏ qua yêu cầu cơ bản này. Tệ hơn nữa, tài khoản Google Workspace đã tạo có thể được sử dụng tại các dịch vụ của bên thứ ba cho phép sử dụng tính năng "Sign in with Google" làm cơ chế đăng nhập.

Dưới đây là cách tin tặc vượt qua xác minh email cho tài khoản Google Workspace:

1. Google cung cấp tài khoản dùng thử Workspace miễn phí cho phép người dùng dùng thử các dịch vụ như Google Docs.
2. Tuy nhiên, để tạo tài khoản Workspace có Gmail và các dịch vụ phụ thuộc vào tên miền, cần phải xác minh email.
3. Tin tặc đã tạo một yêu cầu được xây dựng cụ thể để tránh xác minh email trong quá trình đăng ký.
4. Tin tặc sẽ sử dụng một địa chỉ email để thử đăng nhập và một địa chỉ email hoàn toàn khác để xác minh mã thông báo.
5. Sau khi xác minh email, trong một số trường hợp, hacker có thể truy cập vào các dịch vụ của bên thứ ba bằng cách sử dụng tính năng đăng nhập một lần của Google.

Google đã thông báo cho KrebsOnSecurity rằng sự cố bắt đầu vào cuối tháng 6, ảnh hưởng đến "vài nghìn" tài khoản Workspace, và họ đã khắc phục thành công vấn đề trong vòng 72 giờ sau khi phát hiện ra. Công ty cũng xác nhận đã bổ sung thêm tính năng phát hiện để bảo vệ chống lại các loại hình bỏ qua xác thực dạng này.

Tuy nhiên theo báo cáo của một số người dùng, có vẻ như vấn đề bỏ qua xác minh email đã diễn ra trong hơn một tháng. Có một trường hợp người dùng đã bị ảnh hưởng bởi sự cố này vào ngày 6 tháng 6, không phải là cuối tháng như Google tuyên bố. Một người dùng khác trên diễn đàn KrebsOnSecurity có tên David Keaton tuyên bố đã gặp phải sự cố với Google vào ngày 7 tháng 6.

Việc Google thiếu minh bạch về mốc thời gian và mức độ đầy đủ của lỗ hổng bảo mật Workspace làm dấy lên mối lo ngại. Một thông báo công khai rõ ràng và chi tiết, bao gồm các bước chủ động được thực hiện để ngăn chặn các vi phạm trong tương lai, sẽ là cách tiếp cận có trách nhiệm hơn. Ngoài ra, việc thừa nhận vấn đề bằng một bài đăng trên blog chính thức sẽ giúp Google chứng minh cam kết của công ty về tính minh bạch và sự tin tưởng của người dùng.