ผู้ไม่หวังดีสามารถดึงข้อมูลจาก Goolge Drive ได้โดยไม่มีการทิ้งร่องรอย

นักวิจัยจาก Mitiga ระบุว่า "Google Workspace หรือชื่อเดิม 'G Suite' มีจุดอ่อนจากการป้องกันไม่ให้บุคคลภายนอก หรือคนในที่เป็นอันตรายสามารถขโมยข้อมูลออกจาก Google Drive ได้"

Ariel Szarf และ Or Aspir จาก Mitiga อธิบายว่า "Google Workspace กำหนดให้การมองเห็นต่อข้อมูลบน Google Drive ของบริษัทโดยใช้ 'บันทึกการใช้งาน Drive' เพื่อติดตามการดำเนินการต่าง ๆ เช่น การลบ, การดาวน์โหลด, และการดูไฟล์ รวมถึงบันทึกเหตุการณ์ที่เกี่ยวข้องจากโดเมนภายนอกก็ได้รับการบันทึกไว้"

โดยค่าเริ่มต้นของผู้ใช้ Google Drive จะได้รับสิทธิ์ 'Cloud Identity Free' และจะได้รับการกำหนดสิทธิ์แบบเสียค่าใช้จ่าย เช่น Goolge Workspace Enterprise Plus จากผู้ดูแลระบบในองค์กร

นักวิจัยพบว่าเมื่อไม่ได้มีการกำหนดสิทธิ์ให้กับสิทธิ์แบบที่เสียค่าใช้จ่าย จะไม่มีบันทึกการกระทำในไดรฟ์ส่วนตัวของผู้ใช้ ซึ่งอาจทำให้องค์กรไม่ทราบถึงการดำเนินการ และการจัดการข้อมูล และการนำข้อมูลออกไปโดยผู้ใช้งาน หรือผู้โจมตีภายนอก

ตัวอย่างเช่น หากไม่ได้รับการกำหนดสิทธิ์แบบที่เสียค่าใช้จ่าย หรือสิทธิ์ถูกยกเลิกก่อนที่บัญชี Google จะถูกลบ พนักงานที่ออกจากบริษัทอาจใช้ช่องโหว่นี้เพื่อนำข้อมูลที่สำคัญออกไปโดยไม่ทิ้งหลักฐานใด ๆ

ผู้ใช้สามารถคัดลอกไฟล์ทั้งหมดจากไดรฟ์ที่ถูกแชร์ขององค์กรไปยังไดรฟ์ส่วนตัว และดาวน์โหลดไฟล์ ซึ่งการดาวน์โหลดจะไม่ได้รับการบันทึกไว้ และการคัดลอกจะได้รับการบันทึกเพียงบางส่วนเท่านั้น (จะบันทึกใน 'source_copy' แต่ไม่ได้บันทึกใน 'copy')

ผู้โจมตีภายนอกอาจดำเนินการด้วยวิธีเดียวกัน ถ้าหากสามารถโจมตีบัญชีของผู้ใช้งานที่ไม่มีสิทธิ์แบบที่เสียค่าใช้จ่าย หรือบัญชีของผู้ดูแลระบบ

นักวิจัยได้อธิบายว่า "ผู้ไม่หวังดีที่สามารถเข้าถึงบัญชีผู้ดูแลระบบได้ สามารถเพิกถอนสิทธิ์ของผู้ใช้งาน, ดาวน์โหลดไฟล์ส่วนตัวทั้งหมด และกำหนดสิทธิ์ใหม่ บันทึกการกระทำที่ถูกสร้างขึ้น ในกรณีนี้เป็นบันทึกเพียงเท่าที่เกี่ยวข้องกับการเพิกถอน และกำหนดสิทธิ์ (ภายใต้ 'กิจกรรมบันทึกของผู้ดูแลระบบ')"

การตรวจสอบการนำข้อมูลออกจาก Goolge Drive

คำแนะนำของนักวิจัยสำหรับองค์กรคือ ควรดำเนินการตรวจสอบความเสี่ยงใน Google Workspace เป็นประจำ และค้นหาเหตุการณ์การกำหนด และเพิกถอนสิทธิ์ที่น่าสงสัย และตรวจสอบบันทึก 'source_copy' เพื่อตรวจสอบการคัดลอกไฟล์ของบริษัทที่น่าสงสัย

อ้างอิง : https://www.helpnetsecurity.com/2023/06/01/data-exfiltration-google-drive/?web_view=true