Một vấn đề bảo mật vừa được phát hiện
trên Google Drive khiến cho những thông tin nhạy cảm và thông tin cá
nhân lưu trữ trên dịch vụ đám mây này có thể bị tiết lộ cho các bên thứ 3
trái phép.
Hiện nay lỗ hổng bảo mật này đã được
Google khắc phục nhưng trong quá trình tìm kiếm lỗ hổng các nhà nghiên
cứu đã chỉ ra rằng lỗ hổng của dịch vụ điện toán đám mây này được truy
cập bằng một liên kết có thể cho phép “bất kỳ ai có liên kết này” đều có thể truy cập vào dữ liệu của người dùng mà không cần thêm bất cứ xác thực nào khác.
LỖ HỔNG BẢO MẬT NÀY HOẠT ĐỘNG NHƯ THẾ NÀO
Lỗ hổng bảo mật này gây ra một nguy cơ
trong các file dữ liệu có chứa các đường dẫn (URL) và có thể click vào
được. Khi một ai đó mở file này ra và click vào một siêu liên kết đó, họ
sẽ được đưa đến một website thuộc quyền sở hữu của một bên thứ ba, khi
đó họ có thể truy cập vào các thông tin cá khác của bạn bằng cách truy
cập vào các tài liệu gốc chứa URL này.
LỜI GIẢI THÍCH CỦA GOOGLE
Google giải thích bản chất thật sự của
lỗ hổng này trên một blog được xuất bản vào tuần trước. Công ty này
nói rằng lỗ hổng này chỉ ảnh hường đến một số lượng tập tin nhỏ trong
các file dữ liệu được lưu trên Google Drive.
Vấn đề bảo mật này chỉ xảy ra khi có tất cả 4 điều kiện sau đây xảy ra:
- File dữ liệu đã được tải lên Google Drive
- File dữ liệu này không được chuyển đổi sang dạng Docs, Sheet hoặc Slide (ví dụ vẫn giữ được định dạng gốc như pdf, .docx, v.v)
- Chủ của file dữ liệu này đã thay đổi cách cài đặt chia sẻ để tài liệu này được tất cả mọi người đều có thể thấy được
- Trong nội dung của File dữ liệu này chứa siêu liên kết đến các website HTTPS của bên thứ ba.
Nếu tất cả các điều kiện trên xảy ra,
thì một người dùng click vào siêu liên kết này có thể sẽ tình cờ gửi các
thông tin quan trọng đến với nhà quản trị website của bên thứ ba, cho
phép họ có thể nhìn thấy URL này của văn bản gốc liên kết với trang web
của họ.
Tuy nhiên Google quả quyết với người
dùng rằng những tài liệu mới được chia sẻ cùng với các siêu liên kết với
các website HTTPS của bên thứ ba sẽ không được kèm theo URL tài liệu
gốc.
LÀM THẾ NÀO ĐỂ BẢO VỆ BẢN THÂN
Cùng lúc đó, nếu bạn nhận được bất kì
một tài liệu được chia sẻ trước đó mà giống như một trong 4 tiêu chí
trên, Google nói rằng bạn có thể tạo ra một liên kết mới và an bằng ba
bước đơn giản dưới đây:
- Tạo ra một bản copy của tài liệu bằng các bước File> “Make a copy…”
- Chia sẻ bản copy của tài liệu này hoặc sử dụngmột liên kết mới để thực hiện việc chia sẻ.
- Xóa bản tài liệu gốc
Lỗ hổng bảo mật này tương tự như lỗ hổng
siêu liên kết Dropbox được phát hiện vào đầu năm ngoái bởi Intralinks.
Lỗ hổng siêu liên kết trên Dropbox làm lộ các dữ liệu cá nhân và các
loại thông tin liên quan đến bản khai thu nhập cá nhân, thông tin tài
khoản ngân hàng, các ứng dụng thế chấp và kế hoạch kinh doanh lưu trữ
trên Dropbox mà bạn không bao giờ muốn tiết lộ.
SecurityDaily
0 Nhận Xét:
Post a Comment