นักวิจัยจาก Mitiga ระบุว่า "Google Workspace หรือชื่อเดิม 'G Suite' มีจุดอ่อนจากการป้องกันไม่ให้บุคคลภายนอก หรือคนในที่เป็นอันตรายสามารถขโมยข้อมูลออกจาก Google Drive ได้"
Ariel Szarf และ Or Aspir จาก Mitiga อธิบายว่า "Google Workspace กำหนดให้การมองเห็นต่อข้อมูลบน Google Drive ของบริษัทโดยใช้ 'บันทึกการใช้งาน Drive' เพื่อติดตามการดำเนินการต่าง ๆ เช่น การลบ, การดาวน์โหลด, และการดูไฟล์ รวมถึงบันทึกเหตุการณ์ที่เกี่ยวข้องจากโดเมนภายนอกก็ได้รับการบันทึกไว้"
โดยค่าเริ่มต้นของผู้ใช้ Google Drive จะได้รับสิทธิ์ 'Cloud Identity Free' และจะได้รับการกำหนดสิทธิ์แบบเสียค่าใช้จ่าย เช่น Goolge Workspace Enterprise Plus จากผู้ดูแลระบบในองค์กร
นักวิจัยพบว่าเมื่อไม่ได้มีการกำหนดสิทธิ์ให้กับสิทธิ์แบบที่เสียค่าใช้จ่าย จะไม่มีบันทึกการกระทำในไดรฟ์ส่วนตัวของผู้ใช้ ซึ่งอาจทำให้องค์กรไม่ทราบถึงการดำเนินการ และการจัดการข้อมูล และการนำข้อมูลออกไปโดยผู้ใช้งาน หรือผู้โจมตีภายนอก
ตัวอย่างเช่น หากไม่ได้รับการกำหนดสิทธิ์แบบที่เสียค่าใช้จ่าย หรือสิทธิ์ถูกยกเลิกก่อนที่บัญชี Google จะถูกลบ พนักงานที่ออกจากบริษัทอาจใช้ช่องโหว่นี้เพื่อนำข้อมูลที่สำคัญออกไปโดยไม่ทิ้งหลักฐานใด ๆ
ผู้ใช้สามารถคัดลอกไฟล์ทั้งหมดจากไดรฟ์ที่ถูกแชร์ขององค์กรไปยังไดรฟ์ส่วนตัว และดาวน์โหลดไฟล์ ซึ่งการดาวน์โหลดจะไม่ได้รับการบันทึกไว้ และการคัดลอกจะได้รับการบันทึกเพียงบางส่วนเท่านั้น (จะบันทึกใน 'source_copy' แต่ไม่ได้บันทึกใน 'copy')
ผู้โจมตีภายนอกอาจดำเนินการด้วยวิธีเดียวกัน ถ้าหากสามารถโจมตีบัญชีของผู้ใช้งานที่ไม่มีสิทธิ์แบบที่เสียค่าใช้จ่าย หรือบัญชีของผู้ดูแลระบบ
นักวิจัยได้อธิบายว่า "ผู้ไม่หวังดีที่สามารถเข้าถึงบัญชีผู้ดูแลระบบได้ สามารถเพิกถอนสิทธิ์ของผู้ใช้งาน, ดาวน์โหลดไฟล์ส่วนตัวทั้งหมด และกำหนดสิทธิ์ใหม่ บันทึกการกระทำที่ถูกสร้างขึ้น ในกรณีนี้เป็นบันทึกเพียงเท่าที่เกี่ยวข้องกับการเพิกถอน และกำหนดสิทธิ์ (ภายใต้ 'กิจกรรมบันทึกของผู้ดูแลระบบ')"
การตรวจสอบการนำข้อมูลออกจาก Goolge Drive
คำแนะนำของนักวิจัยสำหรับองค์กรคือ ควรดำเนินการตรวจสอบความเสี่ยงใน Google Workspace เป็นประจำ และค้นหาเหตุการณ์การกำหนด และเพิกถอนสิทธิ์ที่น่าสงสัย และตรวจสอบบันทึก 'source_copy' เพื่อตรวจสอบการคัดลอกไฟล์ของบริษัทที่น่าสงสัย
อ้างอิง : https://www.