ភាពទន់ខ្សោយនៅក្នុងមុខងារ Google’s OAuth “Sign in with Google” អាចបើកឱ្យហេគឃ័រចុះឈ្មោះដូមិន (Register Domains) ដែលមិនដំណើរការ (defunct) ដើម្បីប្រើទិន្នន័យសម្ងាត់របស់គណនីអតីតបុគ្គលិកដែលទាក់ទងនឹងផ្លេតហ្វមសេវា Software-as-a-Service (SaaS) ដទៃទៀត។
ចន្លោះសុវត្ថិភាពត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវ Trufflesecurity និងបានរាយការណ៍ទៅក្រុមហ៊ុន Google កាលពីចុងខែកញ្ញា។ ក្រុមហ៊ុន Google ដំបូងចាត់ទុកថាការរកឃើញបញ្ហានេះគឺជា “ការក្លែងបន្លំ និងការកេងចំណេញ” ដោយមិនចាត់ទុកជាបញ្ហា OAuth ឬបញ្ហាការចូលប្រព័ន្ធនោះទេ (Login)។ ទោះជាយ៉ាងណា បន្ទាប់ពីនាយកប្រតិបត្តិ និងជាសហស្ថាបនិកនៃក្រុមហ៊ុន Trufflesecurity បានបង្ហាញបញ្ហានៅឯ Shmoocon កាលពីខែធ្នូ ដែលក្រុមហ៊ុនបានផ្តល់ប្រាក់រង្វាន់ចំនួន ១,៣៣៧ដុល្លារ ទៅអ្នកស្រាវជ្រាវនោះ បញ្ហានេះត្រូវបានបើកការស៊ើបអង្កេតឡើងវិញ។
នៅពេលបោះពុម្ពផ្សាយ ទោះបីបញ្ហានេះនៅមិនទាន់ដោះស្រាយ និងអាចកេងចំណេញក្តី។ នៅក្នុងថ្លែងសន្ទរកថាជាមួយ BleepingComputer អ្នកនាំពាក្យក្រុមហ៊ុន Google បានថ្លែងថា ក្រុមហ៊ុនណែនាំអតិថិជនឱ្យអនុវត្តតាមការណែនាំ និង “ធ្វើការបិទ Domain ឱ្យបានត្រឹមត្រូវ (Properly Close Out Domains)”។ អ្នកតំណាងក្រុមហ៊ុន Google បានបន្តថា ក្រុមហ៊ុនពិតជាអរគុណដល់លោក Dylan Ayrey ដែលបានជួយ កំណត់ហានិភ័យដែលកើតឡើងដោយសារការភ្លេចលុបសេវា SaaS ភាគីទីបីរបស់អតិថិជន ដែលជាផ្នែកមួយនៃការបដិសេធចំពោះប្រតិបត្តិការរបស់ពួកគេ។
មូលដ្ឋាននៃបញ្ហា៖ នៅក្នុងរបាយការណ៍ថ្ងៃនេះ លោក Ayrey រៀបរាប់ពីបញ្ហាថាជា Google’s OAuth Login មិនបានការពារប្រឆាំងនឹងអ្នកដែលបានទិញ Failed Startup’s Domain និងប្រើវាសម្រាប់បង្កើតគណនីអ៊ីម៉ែលឡើងវិញរបស់អតីតបុគ្គលិក។ ការថតចម្លងអ៊ីម៉ែល (clone) មិនបានផ្តល់សិទ្ធិឱ្យម្ចាស់ថ្មីចូលប្រើការទំនាក់ទំនងពីមុននៅលើផ្លេតហ្វមទំនាក់ទំនងរបស់ពួកគេទេ ប៉ុន្តែគណនីថ្មីអាចត្រូវបានប្រើសម្រាប់ចូលទៅកាន់សេវាដូចជា Slack, Notion, Zoom, ChatGPT និងផ្លេតហ្វមផ្សេងទៀត (Human Resources (HR))។
អ្នកស្រាវជ្រាវបានបង្ហាញដោយការទិញដូមិនចាស់ (Defunct Domain) និងប្រើផ្លេតហ្វម SaaS ហេគឃ័រអាចទាញយកទិន្នន័យពីប្រព័ន្ធ HR (ឯកសារពន្ធ ព័ត៌មានធានារ៉ាប់រង និងលេខសន្តិសុខសង្គម) ហើយនិងចូលទៅកាន់សេវាដទៃទៀត (ដូចជា៖ ChatGPT, Slack, Notion, Zoom ជាដើម) ។ ដោយការស៊ើបអង្កេតមូលដ្ឋានទិន្នន័យ Crunchbase ឥឡូវនេះ ក្រុមហ៊ុនដែលបិទទ្វារ (Defunct Startups) ជាមួយនឹងដូមិនដែលគេបោះបង់ចោលនោះ លោក Ayrey បានរកឃើញថា មានដូមិនដែលប្រើបានចំនួន ១១៦,៤៨១។ នៅក្នុងប្រព័ន្ធ Google’s OAuth ការទាមទារបន្ទាប់ (a Sub Claim) មានបំណងផ្តល់នូវអត្តសញ្ញាណតែមួយគត់ និងមិនអាចផ្លាស់ប្តូរបានសម្រាប់អ្នកប្រើប្រាស់អាចឆ្លងកាត់ការ Login (user across logins) ដែលមានបំណងដើរតួជាឯកសារយោង ដើម្បីកំណត់អត្តសញ្ញាណអ្នកប្រើប្រាស់ បើទោះជា មានការផ្លាស់ប្តូរ Domain ឬអ៊ីម៉ែលក៏ដោយ។ យ៉ាងណាក្តី អ្នកស្រាវជ្រាវពន្យល់ថា មានភាពខុសគ្នាប្រមាណជា ០,០៤% នៅក្នុងការទាមទារបន្ទាប់ (Sub claim) ដែលបង្ខំសេវាដូចជា Slack និង Notion ឱ្យយល់ស្របតាមការទាមទាររបស់អ៊ីម៉ែល និងដូមិនដែលបានបង្ហោះ។
ការទាមទាររបស់អ៊ីម៉ែលគឺត្រូវតែភ្ជាប់ជាមួយអាសយដ្ឋានអ៊ីម៉ែលរបស់អ្នកប្រើប្រាស់ រីឯ Domain ត្រូវតែភ្ជាប់ជាមួយម្ចាស់ Domain (domain ownership) ដូច្នេះរឿងទាំងពីរនេះអាចត្រូវបានស្គាល់ដោយម្ចាស់ថ្មី ដែល បន្លំជាអតីតបុគ្គលិកនៅលើផ្លេតហ្វម SaaS។ ដំណោះស្រាយមួយដែលអ្នកស្រាវជ្រាវស្នើសុំគឺ ក្រុមហ៊ុន Google បានណែនាំអត្តសញ្ញាណដែលមិនអាចផ្លាស់ប្តូរ (Immutable Identifiers) ដែលជាឈ្មោះសម្គាល់អ្នកប្រើតែមួយគត់ និងជាអចិន្ត្រៃយ៍ និងលេខសម្គាល់កន្លែងធ្វើការតែមួយគត់ដែលភ្ជាប់ជាមួយនឹងអង្គភាពដើម។ អ្នកផ្តល់សេវា SaaS ក៏អាចអនុវត្តវិធានការបន្ថែមដូចជា កាលបរិច្ឆេទចុះឈ្មោះ Cross-Referencing Domain អនុវត្តការយល់ព្រមកម្រិតគ្រប់គ្រង (Admin-level) សម្រាប់ការចូលប្រើគណនី ឬប្រើកត្តាបន្ទាប់បន្សំសម្រាប់ការផ្ទៀងផ្ទាត់អត្តសញ្ញាណ។ វិធានទាំងនេះ បង្ហាញពីការចំណាយ ភាពស្មុគស្មាញផ្នែកបច្ចេកវិទ្យា និងកិច្ចខិតខំប្រឹងប្រែងចូលក្នុងប្រព័ន្ធ (login)។ ទោះជាយ៉ាងណា ពួកគេគួរតែការពារអតិថិជនចាស់ មិនមែនអតិថិជនថ្មីទេ ដូច្នេះការលើកទឹកចិត្តឱ្យប្រើប្រាស់សេវានោះនៅមានកម្រិតទាប។
ហានិភ័យកំពុងកើនឡើងជាបន្តបន្ទាប់៖ បញ្ហាប៉ះពាល់ដល់មនុស្សរាប់លាននាក់ និងក្រុមហ៊ុនរាប់ពាន់ ហើយវានឹងកាន់តែធំឡើងជាបន្តបន្ទាប់។ Trufflesecurity រាយការណ៍ថា មានគណនីបុគ្គលិករាប់លាននាក់នៅពេលបើកក្រុមហ៊ុន (Failed Startups) និងមានដូមិនជាច្រើនសម្រាប់ទិញ។ បច្ចុប្បន្ន មានជនជាតិអាមេរិក ៦លាននាក់ធ្វើការនៅក្រុមហ៊ុនបច្ចេកវិទ្យា Startups ដែល ៩០% ត្រូវបានកំណត់ថានឹងត្រូវបិទទ្វារនៅឆ្នាំបន្ទាប់។ ប្រមាណជា ៥០% នៃក្រុមហ៊ុនទាំងនោះប្រើ Google Workspaces សម្រាប់ការផ្ញើអ៊ីម៉ែល ដូច្នេះបុគ្គលិករបស់ពួកគេ Login ចូលទៅផលិតផលរបស់ពួកគេតាមគណនី Gmail។ ប្រសិនបើ អ្នកនៅក្នុងចំណោមពួកគេ អ្នកត្រូវធានាថាអ្នកបានលុបទិន្នន័យសម្ងាត់ចេញពីគណនី នៅពេលអ្នកចាកចេញពីក្រុមហ៊ុន Startup និងជៀសវាងប្រើគណនីនៅកន្លែងធ្វើការសម្រាប់ការចុះឈ្មោះ គណនីផ្ទាល់ខ្លួន ដើម្បីការពារការលាតត្រដាងទិន្នន័យនាពេលខាងមុខ៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៤ ខែមករា ឆ្នាំ២០២៥
