17/09/2018, 17:56

Lỗ hổng bảo mật trên Google Drive lộ thông tin cá nhân của người dùng

Một vấn đề bảo mật vừa được phát hiện trên Google Drive khiến cho những thông tin nhạy cảm và thông tin cá nhân lưu trữ trên dịch vụ đám mây này có thể bị tiết lộ cho các bên thứ 3 trái phép. Hiện nay lỗ hổng bảo mật này đã được Google khắc phục nhưng trong quá trình tìm kiếm lỗ hổng các nhà ...

google-drive-hacking

Một vấn đề bảo mật vừa được phát hiện trên Google Drive khiến cho những thông tin nhạy cảm và thông tin cá nhân lưu trữ trên dịch vụ đám mây này có thể bị tiết lộ cho các bên thứ 3 trái phép.

Hiện nay lỗ hổng bảo mật này đã được Google khắc phục nhưng trong quá trình tìm kiếm lỗ hổng các nhà nghiên cứu đã chỉ ra rằng lỗ hổng của dịch vụ điện toán đám mây này được truy cập bằng một liên kết có thể cho phép “bất kỳ ai có liên kết này” đều có thể truy cập vào  dữ liệu của người dùng mà không cần thêm bất cứ xác thực nào khác.

LỖ HỔNG BẢO MẬT NÀY HOẠT ĐỘNG NHƯ THẾ NÀO

Lỗ hổng bảo mật này gây ra một nguy cơ trong các file dữ liệu có chứa các đường dẫn (URL) và có thể click vào được. Khi một ai đó mở file này ra và click vào một siêu liên kết đó, họ sẽ được đưa đến một website thuộc quyền sở hữu của một bên thứ ba, khi đó họ có thể truy cập vào các thông tin cá khác của bạn bằng cách truy cập vào các tài liệu gốc chứa URL này.

LỜI GIẢI THÍCH CỦA GOOGLE

Google giải thích bản chất thật sự của lỗ hổng này trên một blog được xuất bản vào tuần trước. Công ty này nói rằng lỗ hổng này chỉ ảnh hường đến một số lượng tập tin nhỏ trong các file dữ liệu được lưu trên Google Drive.

Vấn đề bảo mật này chỉ xảy ra khi có tất cả 4 điều kiện sau đây xảy ra:

  • File dữ liệu đã được tải lên Google Drive
  • File dữ liệu này không được chuyển đổi sang dạng Docs, Sheet hoặc Slide (ví dụ vẫn giữ được định dạng gốc như pdf, .docx, v.v)
  • Chủ của file dữ liệu này đã thay đổi cách cài đặt chia sẻ để tài liệu này được tất cả mọi người đều có thể thấy được
  • Trong nội dung của File dữ liệu này chứa siêu liên kết đến các website HTTPS của bên thứ ba.

Nếu tất cả các điều kiện trên xảy ra, thì một người dùng click vào siêu liên kết này có thể sẽ tình cờ gửi các thông tin quan trọng đến với nhà quản  trị  website của bên thứ ba, cho phép họ có thể nhìn thấy URL này của văn bản gốc liên kết với trang web của họ.

Tuy nhiên Google quả quyết với người dùng rằng những tài liệu mới được chia sẻ cùng với các siêu liên kết với các website HTTPS của bên thứ ba sẽ không được kèm theo URL tài liệu gốc.

LÀM THẾ NÀO ĐỂ BẢO VỆ BẢN THÂN

Cùng lúc đó, nếu bạn nhận được bất kì một tài liệu được chia sẻ trước đó mà giống như một trong 4 tiêu chí trên, Google nói rằng bạn có thể tạo ra một liên kết mới và an bằng ba bước đơn giản dưới đây:

  • Tạo ra một bản copy của tài liệu bằng các bước  File> “Make a copy…”
  • Chia sẻ bản copy của tài liệu này hoặc sử dụngmột liên kết mới để thực hiện việc chia sẻ.
  • Xóa bản tài liệu gốc

Lỗ hổng bảo mật này tương tự như lỗ hổng siêu liên kết Dropbox được phát hiện vào đầu năm ngoái bởi Intralinks. Lỗ hổng siêu liên kết trên Dropbox làm lộ các dữ liệu cá nhân và các loại thông tin liên quan đến bản khai thu nhập cá nhân, thông tin tài khoản ngân hàng, các ứng dụng thế chấp và kế hoạch kinh doanh lưu trữ trên Dropbox mà bạn không bao giờ muốn tiết lộ.

0