พบช่องโหว่ Google Drive for Desktop บน Windows เปิดช่องให้คนใช้เครื่องร่วมกัน เข้าถึงข้อมูลของกันและกันได้
Google Drive ถือเป็นหนึ่งในเครื่องมือหลักที่ผู้ใช้นิยมใช้เพื่อเก็บ แชร์ และซิงค์ข้อมูลอย่างสะดวกสบาย แต่ล่าสุดนักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ในแอปพลิเคชัน Google Drive Desktop บน Windows ซึ่งอาจทำให้ข้อมูลสำคัญของผู้ใช้อื่นตกอยู่ในความเสี่ยงโดยไม่รู้ตัว
รายละเอียดช่องโหว่
ช่องโหว่ด้านความปลอดภัยในระบบแคชของ Google Drive Desktop ที่เรียกว่า DriveFS ซึ่งเป็นโฟลเดอร์สำหรับเก็บไฟล์ที่ซิงค์ไว้ในเครื่องคอมพิวเตอร์ของผู้ใช้ ปัญหาหลักคือ DriveFS ไม่ได้แยกการเข้าถึงระหว่างผู้ใช้แต่ละคนอย่างเหมาะสม ส่งผลให้ผู้ใช้คนหนึ่งสามารถคัดลอกข้อมูลแคชของผู้ใช้อีกคนมาใช้ได้โดยไม่ต้องยืนยันตัวตนใหม่
เพียงแค่คัดลอกและวางไฟล์แคชในโฟลเดอร์ที่เหมาะสม ผู้ใช้สามารถเข้าถึงไฟล์ทั้งหมดของผู้ใช้อื่นได้ทันที ซึ่งถือเป็นความเสี่ยงด้านความปลอดภัยที่ร้ายแรง
ความเสี่ยง
ช่องโหว่นี้เปิดโอกาสให้ผู้ใช้ที่มีสิทธิ์เข้าถึงเครื่องคอมพิวเตอร์สามารถเข้าถึงข้อมูลส่วนบุคคลและไฟล์สำคัญของผู้อื่นได้โดยไม่ต้องมีการยืนยันตัวตนใหม่ ซึ่งอาจส่งผลร้ายในหลายด้าน เช่น
- การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต: ไฟล์สำคัญ เช่น เอกสารสัญญา ข้อมูลทางการเงิน หรือข้อมูลส่วนตัว สามารถถูกเข้าถึงได้ทันที
- การละเมิดความเป็นส่วนตัวและกฎหมาย: การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตอาจละเมิดกฎหมายคุ้มครองข้อมูลส่วนบุคคล เช่น GDPR หรือ HIPAA
- ความเสียหายต่อชื่อเสียงและความน่าเชื่อถือ: องค์กรที่ใช้ Google Drive อาจสูญเสียความเชื่อมั่นจากลูกค้าและผู้ใช้ หากเกิดเหตุการณ์ข้อมูลรั่วไหล
มาตรการป้องกันสำหรับผู้ใช้
แม้ว่า Google ยังไม่ได้ออกมาแถลงการณ์หรือออกอัปเดตแก้ไขของช่องโหว่นี้ ผู้ใช้สามารถปฏิบัติตามแนวทางดังต่อไปนี้เพื่อลดความเสี่ยง
- หลีกเลี่ยงการใช้ Google Drive Desktop บนเครื่องคอมพิวเตอร์ที่ใช้ร่วมกัน — ใช้ Google Drive ผ่านเว็บเบราว์เซอร์แทน
- ล้างแคช DriveFS หลังใช้งาน — เพื่อลดความเสี่ยงจากการเก็บไฟล์ผู้ใช้อื่นไว้ในเครื่อง
- ใช้โปรไฟล์ Windows แยกจากกัน — การแยกโปรไฟล์ช่วยจำกัดการเข้าถึงข้อมูลของผู้ใช้แต่ละคน
- จำกัดการเข้าถึงแอปพลิเคชันเฉพาะอุปกรณ์ที่จัดการอย่างปลอดภัย — สำหรับองค์กร ควรกำหนดนโยบายให้ใช้เฉพาะอุปกรณ์ที่มีมาตรการรักษาความปลอดภัย