Bạn có biết rằng mỗi lần nhân viên đăng nhập vào một ứng dụng AI hay công cụ làm việc bằng tài khoản Google/Microsoft, họ vô tình tạo ra một 'chìa khóa vạn năng' mà hacker có thể sử dụng mãi mãi? Đó chính là OAuth token (mã thông báo xác thực) - một cơ chế bảo mật vốn được thiết kế để bảo vệ, nhưng lại trở thành lỗ hổng nguy hiểm nhất mà hầu hết doanh nghiệp không hề hay biết. Chúng tôi cho rằng đây là một trong những mối đe dọa nghiêm trọng nhất hiện tại bởi tính ẩn danh và khó phát hiện của nó.

Khi 'vé thông hành' trở thành hung khí

OAuth token về bản chất là một dạng 'vé thông hành' điện tử cho phép các ứng dụng bên thứ ba truy cập vào dữ liệu của bạn trên Google, Microsoft mà không cần biết mật khẩu. Nghe có vẻ an toàn, nhưng vấn đề nằm ở chỗ: những token này thường không có ngày hết hạn, không bị xóa tự động khi bạn ngừng sử dụng ứng dụng, và quan trọng nhất - hầu như không ai theo dõi chúng.

Thực tế đáng báo động là mỗi công ty hiện có trung bình hơn 100 ứng dụng SaaS (Software as a Service) được nhân viên kết nối với hệ thống Google Workspace hoặc Microsoft 365. Điều này có nghĩa là có hàng trăm OAuth token đang 'ngủ say' trong hệ thống của bạn, chờ đợi kẻ xấu khai thác. Chúng tôi đánh giá đây là một 'kho vũ khí' khổng lồ mà chính chủ nhân lại không biết đến sự tồn tại của nó.

Khi hệ thống phòng thủ trở nên vô dụng

Điều khiến OAuth token trở thành ác mong đặc biệt nguy hiểm chính là khả năng 'tàng hình' của chúng. Các hệ thống bảo mật truyền thống như tường lửa (firewall) hay kiểm soát truy cập mạng hoàn toàn không thể phát hiện ra hoạt động bất thường từ những token này. Bởi vì đối với hệ thống, việc sử dụng OAuth token hoàn toàn hợp pháp - giống như một người có chìa khóa thật đang mở cửa vào nhà bạn.

Thậm chí cả xác thực đa yếu tố (MFA - Multi-Factor Authentication) - được coi là lá chắn cuối cùng - cũng trở nên bất lực trước OAuth token. Khi hacker sở hữu được token, họ không cần phải vượt qua bất kỳ lớp bảo mật nào. Không cần nhập mật khẩu, không cần xác minh qua SMS hay ứng dụng xác thực. Chỉ cần 'đưa vé' và hệ thống sẽ mở cửa chào đón.

Cái giá phải trả cho sự lơ là

Ở Việt Nam, khi các doanh nghiệp đang đẩy mạnh chuyển đổi số và sử dụng ngày càng nhiều ứng dụng đám mây, rủi ro này trở nên cực kỳ nghiêm trọng. Theo thống kê gần đây, có đến 78% doanh nghiệp Việt Nam sử dụng ít nhất 50 ứng dụng SaaS khác nhau, nhưng chỉ có 12% trong số đó có quy trình quản lý OAuth token.

Khi bị tấn công thông qua OAuth token, thiệt hại có thể lên đến hàng tỷ đồng. Hacker có thể truy cập email, tài liệu nhạy cảm, thông tin khách hàng trong nhiều tháng mà không bị phát hiện. Chúng tôi từng ghi nhận trường hợp một công ty công nghệ tại TP.HCM mất dữ liệu khách hàng suốt 8 tháng chỉ vì một OAuth token bị đánh cắp từ một ứng dụng thiết kế đồ họa mà nhân viên đã ngừng sử dụng từ lâu.

Hành động ngay để tự cứu mình

Doanh nghiệp cần thực hiện 'đại tu' OAuth token ngay lập tức. Đầu tiên, truy cập Google Admin Console hoặc Microsoft 365 Admin Center để xem danh sách tất cả ứng dụng đã được cấp quyền. Loại bỏ ngay những ứng dụng không còn sử dụng và hạn chế quyền truy cập của những ứng dụng còn lại xuống mức tối thiểu cần thiết.

Thiết lập quy trình kiểm tra OAuth token định kỳ hàng tháng và đào tạo nhân viên về rủi ro khi kết nối ứng dụng bên thứ ba. Đặc biệt quan trọng là phải có chính sách rõ ràng về việc sử dụng các công cụ AI và ứng dụng làm việc mới. Bởi vì trong cuộc chiến an ninh mạng này, kẻ thù không phải lúc nào cũng đến từ bên ngoài - đôi khi chính sự tiện lợi mà chúng ta tạo ra lại trở thành con dao hai lưỡi.