Allison Husain นักวิจัยด้านความปลอดภัย ได้พบช่องโหว่ที่ช่วยให้แฮกเกอร์สามารถปลอมอีเมล แล้วหลอกว่าส่งมาจากลูกค้าของ G Suite
ช่องโหว่นี้เกิดจาก ระบบตรวจสอบสิทธิ์ที่ส่งผ่าน SPF (Sender Policy Framework) และ DMARC (Domain-based Message Authentication, Reporting, and Conformance)
โดยช่องโหว่นี้จะช่วยให้แฮกเกอร์จะส่งอีเมลปลอมไปยัง G Suite เมื่อทางเซิร์ฟเวอร์ของ G Suite อนุญาตให้ส่งอีเมลได้ จากนั้นแฮกเกอร์จะทำการตั้งค่ากำหนดเส้นทางส่งและรับอีเมล ในชื่อของลูกค้า G Suite ได้
อันที่จริง Allison ได้พบช่องโหว่นี้ตั้งแต่วันที่ 3 เมษายน2020 และได้แจ้งเตือนไปอีกครั้งเมื่อวันที่ 1 สิงหาคม ทาง Google ก็ตอบกลับว่าจะแก้ไขช่องโหว่ภายวันวันที่ 17 กันยายน แต่ทาง Allison บอกว่าเค้าจะเปิดเผยช่องโหว่นี้ในวันที่ 19 สิงหาคม และหลังจากที่ Allison เผยแพร่บทความ Google ก็ใช้เวลาในการแก้ไขช่องโหว่นี้ 7 ชั่วโมง
นับตั้งแต่วันที่ Allison รายงานปัญหาที่พบ จนถึงวันที่ Allison โพสต์เกี่ยวกับช่องโหว่นี้ ใช้เวลาไปทั้งหมด 137 วัน
สิ่งที่น่าสงสัยก็คือ ทำไม Google ถึงแก้ไขช้า ทั้งๆ ที่ทาง Google มีแนวทางการรายงานช่องโหว่สาธารณะภายใน 90 วัน (https://googleprojectzero.blogspot.com/p/vulnerability-disclosure-faq.html) แล้วเหตุใด Google จึงใช้เวลาแก้ไขไม่ได้ตามที่ตัวเองตั้งไว้
ที่มา: Bleeping Computer
