TH



TH
BigGo Magเกี่ยวกับเราร่วมงานกับเราติดต่อเราข้อกำหนดผู้ใช้ศูนย์ช่วยเหลือ
© 2025 BigGo
ติดตั้ง
ดาวน์โหลดแอป
ข่าว
เทคโนโลยี
ความปลอดภัย
บริษัท
Google

ช่องโหว่ร้ายแรงใน Google OAuth เปิดเผยข้อมูลบัญชีพนักงานเก่าของสตาร์ทอัพนับล้านราย

BigGo Editorial Team
ช่องโหว่ร้ายแรงใน Google OAuth เปิดเผยข้อมูลบัญชีพนักงานเก่าของสตาร์ทอัพนับล้านราย

ช่องโหว่ด้านความปลอดภัยที่สำคัญในระบบยืนยันตัวตน Google OAuth ได้ถูกค้นพบ ซึ่งอาจทำให้ข้อมูลที่ละเอียดอ่อนของอดีตพนักงานจากบริษัทสตาร์ทอัพที่ปิดตัวไปแล้วนับล้านรายถูกเปิดเผย การค้นพบนี้สร้างความกังวลอย่างมากเกี่ยวกับผลกระทบด้านความปลอดภัยในระยะยาวของระบบยืนยันตัวตนดิจิทัลและการโอนย้ายความเป็นเจ้าของโดเมน

ช่องโหว่ในระบบยืนยันตัวตน OAuth

ช่องโหว่ด้านความปลอดภัยที่ค้นพบโดยนักวิจัยจาก Trufflesecurity เกี่ยวข้องกับระบบการเข้าสู่ระบบด้วย Google ช่องโหว่นี้ทำให้ผู้ที่ซื้อโดเมนของบริษัทที่ปิดตัวไปแล้วสามารถเข้าถึงบัญชีบริการของอดีตพนักงานที่ใช้บริการภายนอกได้ ช่องโหว่นี้เกิดขึ้นเพราะระบบ OAuth ของ Google ยังคงยอมรับการยืนยันตัวตนที่อิงกับโดเมนอีเมลเพียงอย่างเดียว แม้ว่าความเป็นเจ้าของโดเมนจะเปลี่ยนมือไปแล้วก็ตาม

ผลกระทบและขอบเขต

ขอบเขตของช่องโหว่นี้น่ากังวลเป็นพิเศษเมื่อพิจารณาจากจำนวนเป้าหมายที่อาจได้รับผลกระทบ ตามข้อมูลจาก Crunchbase มีโดเมนประมาณ 116,481 โดเมนจากสตาร์ทอัพที่ล้มเหลวที่อาจถูกโจมตีได้ บริการที่ได้รับผลกระทบรวมถึงแพลตฟอร์มยอดนิยมอย่าง ChatGPT, Notion, Slack และ Zoom ที่สำคัญกว่านั้น ช่องโหว่นี้ยังทำให้สามารถเข้าถึงระบบ HR ที่มีข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น เอกสารภาษี หมายเลขประกันสังคม และรายละเอียดการประกันภัย

  • บริการที่ได้รับผลกระทบ:

    • ChatGPT
    • Notion
    • Slack
    • Zoom
    • ระบบทรัพยากรบุคคล

  • กรอบเวลา:

    • รายงานครั้งแรก: 30 กันยายน 2567
    • การตอบสนองเบื้องต้น: 2 ตุลาคม 2567 (ไม่มีการแก้ไข)
    • การเปิดเผยต่อสาธารณะ: ธันวาคม 2567
    • จำนวนเงินรางวัล: 1,337 ดอลลาร์สหรัฐ

  • ขอบเขตผลกระทบที่อาจเกิดขึ้น:

    • โดเมนของสตาร์ทอัพที่เลิกกิจการแล้วที่สามารถใช้งานได้: 116,481 โดเมน

การตอบสนองและไทม์ไลน์ของ Google

หลังจากที่มีการรายงานไปยัง Google ครั้งแรกเมื่อวันที่ 30 กันยายน 2024 ปัญหานี้ถูกทำเครื่องหมายว่าจะไม่แก้ไข อย่างไรก็ตาม หลังจากมีการเปิดเผยต่อสาธารณะในการประชุม Shmoocon ในเดือนธันวาคม Google ได้เปิดกรณีนี้อีกครั้งและมอบเงินรางวัลจำนวน 1,337 ดอลลาร์สหรัฐ ซึ่งเป็นตัวเลขที่มีความหมายในวัฒนธรรมแฮกเกอร์ที่สื่อถึงคำว่า elite ในภาษา leetspeak ขณะนี้บริษัทกำลังทำงานอย่างแข็งขันในการแก้ไขปัญหา โดยอาจรวมถึงการใช้ตัวระบุที่ไม่สามารถเปลี่ยนแปลงได้สำหรับการยืนยันตัวตนของผู้ใช้และเวิร์กสเปซ

กลยุทธ์การบรรเทาผลกระทบ

Google ได้แนะนำให้บริษัทต่างๆ ปิดโดเมนตามคำแนะนำที่ระบุไว้อย่างถูกต้องเพื่อป้องกันช่องโหว่ดังกล่าว นอกจากนี้ ยังส่งเสริมให้แอปพลิเคชันของบุคคลที่สามนำแนวปฏิบัติที่ดีที่สุดมาใช้โดยใช้ตัวระบุบัญชีที่ไม่ซ้ำกัน สำหรับบุคคลและธุรกิจ สิ่งสำคัญคือต้องลบข้อมูลที่ละเอียดอ่อนออกจากบัญชีธุรกิจระหว่างการเปลี่ยนงานและหลีกเลี่ยงการใช้ข้อมูลประจำตัวของบริษัทสำหรับบัญชีส่วนตัว

ผลกระทบในอนาคต

ช่องโหว่ด้านความปลอดภัยนี้ชี้ให้เห็นถึงความท้าทายที่กว้างขึ้นในการจัดการตัวตนดิจิทัลและความจำเป็นในการมีระบบยืนยันตัวตนที่แข็งแกร่งขึ้นซึ่งสามารถจัดการกับความซับซ้อนของการโอนความเป็นเจ้าของโดเมนและการยุบบริษัท เมื่อภูมิทัศน์ดิจิทัลยังคงพัฒนาต่อไป ช่องโหว่เหล่านี้ยิ่งตอกย้ำความสำคัญของการนำมาตรการรักษาความปลอดภัยที่ซับซ้อนมากขึ้นมาใช้ในระบบยืนยันตัวตน

ข่าวที่เกี่ยวข้อง