เมื่อประมาณวันที่ 1 มิถุนายน Wall Street Journal (WSJ) ได้ออกรายงานเกี่ยวกับช่องโหว่ในอีเมลของ Gmail ทำให้ ผู้พัฒนาแอพ Third Party ของ Gmail สามารถเข้าไปอ่านอีเมล รวมไปถึง id ของผู้รับอีเมล, timestamps และเนื้อหาทั้งหมดในอีเมลของผู้ใช้ได้ ช่องโหว่นี้เกิดจากการเปิดการใช้งาน “ให้มีสิทธิ์เข้าถึงได้” (Has access to Gmail) ใน inbox ของ Gmail
ในตอนนี้ทาง Gmail ยังไม่มีวิธีการจำกัดการเข้าใช้งานในอีเมล ในตอนนี้แนะนำให้ผู้ใช้ปิดการใช้งานการเข้าถึงแอพ (ปุ่ม “Remove Access”)
ปกติแล้วทาง Google จะอนุญาตให้ผู้พัฒนาแอพสร้างบริการที่ใช้งานร่วมกับ Gmail อย่างเช่น บริการอีเมล, เปรียบเทียบราคาสินค้า และการวางแผนการเดินทางแบบอัตโนมัติ ซึ่งมีผู้ใช้บริการแอพเหล่านี้หลายล้านรายทำให้เกิดความเสี่ยงที่ผู้พัฒนาแอพจากภายนอกสามารถอ่านข้อความในจดหมายได้
ทางโฆษกของ Google ได้แจ้งว่า ทางบริษัทได้ทำการตรวจสอบผู้พัฒนาแอพก่อนที่ให้สิทธิ์การเข้าถึงบริการของบริษัท ซึ่งถ้าหากมีผู้พัฒนาแอพคนใดเข้าไปในส่วนของข้อมูล และมีการดำเนินการที่น่าสงสัย ทาง Google จะจัดการกับผู้พัฒนาคนนั้นทันที
จะเห็นได้ว่าแอพเหล่านี้ได้รับการยินยอมจากผู้ใช้ ให้สามารถเข้าถึง inbox ได้ เพราะเป็นกระบวนการในการแจ้งข่าวสารให้แก่ผู้ใช้ แต่การที่ผู้พัฒนาแอพสามารถอ่าน และเข้าถึงข้อมูลสำคัญของผู้ใช้ได้ นั้นเป็นสิ่งที่ทำให้ผู้ใช้ประหลาดใจ และไม่เข้าใจว่าพวกเขาลงทะเบียนไปเพื่ออะไร
ในตอนนี้ผู้ใช้สามารถแชร์ความคิด หรือรายงานให้ทาง Google ทราบ ในกรณ๊ที่พบว่าเว็บไซต์ หรือแอพที่ไม่จำเป็นสามารถเข้าถึงบัญชี Google ของผู้ใช้ได้
ที่มา : The Hacker News
