Cảnh báo lỗ hổng “cửa sau” từ OAuth Token

lỗ hổng cửa sau từ OAuth Token

Cánh cửa sau mà Hacker luôn rình rập — Nhưng hầu hết đội ngũ Security vẫn chưa thể đóng lại

Mỗi công cụ AI, quy trình tự động hóa hay ứng dụng năng suất mà nhân viên của bạn kết nối với tài khoản Google hoặc Microsoft trong năm nay đều để lại một “di chứng” nguy hiểm: Một OAuth Token bền bỉ, không có ngày hết hạn, không có cơ chế tự động thu hồi, và tại hầu hết các doanh nghiệp, chẳng ai mảy may giám sát chúng.

Các hệ thống kiểm soát vành đai (Perimeter controls) của bạn hoàn toàn “mù” trước loại mã độc này. Hệ thống xác thực đa nhân tố (MFA) cũng không thể ngăn chặn được nó. Đơn giản là vì khi một kẻ tấn công chiếm được Token này, chúng không cần mật khẩu để bước thẳng vào hệ thống của bạn.

Tại sao OAuth Token lại trở thành “gót chân Achilles”?

Vấn đề nằm ở sự tiện lợi đánh đổi với bảo mật. Khi bạn nhấn “Sign in with Google” cho một công cụ AI mới, một Access Token được tạo ra. Trong nhiều trường hợp, đây là các token có thời hạn vĩnh viễn hoặc đi kèm với Refresh Token cho phép duy trì quyền truy cập vô hạn mà không cần người dùng can thiệp lại.

Kẻ tấn công hiện nay không còn tập trung quá nhiều vào việc bẻ khóa mật khẩu (Brute-force) vốn dễ bị phát hiện bởi MFA. Thay vào đó, chúng sử dụng các kỹ thuật như In-the-middle hoặc App-based Phishing để đánh cắp Token. Một khi đã có Token trong tay, Hacker sẽ giả dạng chính ứng dụng tin cậy đó để truy xuất dữ liệu nhạy cảm thông qua API mà không hề để lại dấu vết bất thường nào trên các Dashboard bảo mật truyền thống.

Làm thế nào để bảo vệ hệ thống?

Để đối phó với hiểm họa này, các chuyên gia bảo mật cần thay đổi tư duy từ quản lý danh tính (Identity Management) sang quản trị quyền truy cập ứng dụng (App Governance):

• Thực hiện rà soát định kỳ các ứng dụng bên thứ ba đã được cấp quyền OAuth.
• Thiết lập chính sách tự động thu hồi (Revoke) đối với các Token không hoạt động trong 30-60 ngày.
• Sử dụng các giải pháp CASB (Cloud Access Security Broker) để giám sát hành vi của các API.