Pekerja Anda Menghubungkan 47 Aplikasi ke Google Tahun Lepas. Bolehkah Anda Namakan Salah Satu Daripadanya?

12hb Mei 2026 | Blog

Token OAuth tidak akan luput apabila pekerja berhenti, kata laluan bertukar atau aplikasi menjadi tidak sah. Program keselamatan anda perlu memahami risiko ini dan mengalih keluar hak yang tidak diperlukan dan ditinggalkan secepat mungkin.

Bayangkan kunci ganti. Anda menyerahkannya kepada kontraktor enam bulan yang lalu supaya mereka boleh membaiki HVAC anda. Kerja sudah selesai. Kontraktor itu telah berpindah. Tetapi kunci itu masih berfungsi, dan anda tidak pernah memintanya kembali. Lebih kurang begitulah yang berlaku setiap kali seseorang di syarikat anda menyambungkan aplikasi pihak ketiga ke Google Workspace atau Microsoft 365 menggunakan OAuth. Kunci digital dicipta oleh pekerja anda. Ia tidak akan tamat tempoh, dan dalam kebanyakan organisasi, tiada siapa yang menjejaki, menyemak atau mengalih keluarnya apabila tidak lagi diperlukan!

OAuth ialah sistem di sebalik butang “Sambung dengan Google” dan “Benarkan akses” yang diklik oleh pasukan anda setiap hari. Ia membolehkan aplikasi membaca kalendar anda, menghantar e-mel bagi pihak anda atau mengambil data daripada storan awan anda, semuanya tanpa berkongsi kata laluan sebenar anda. Kedengarannya hebat. Masalahnya ialah token akses yang diciptanya kekal lama selepas anda terlupa aplikasi itu wujud. Ia tidak dibatalkan apabila pekerja berhenti. Ia tidak ditetapkan semula apabila seseorang menukar kata laluan mereka. Pengesahan berbilang faktor anda tidak menghalang penyerang yang sudah memegang token yang sah.

Banyak Organisasi Tidak Tahu tentang Masalah Ini. Lebih Sedikit Lagi Yang Memperbaikinya.

penyelidikan dari Keselamatan Bahan mendapati bahawa 80% pemimpin keselamatan menganggap pemberian OAuth yang tidak diurus sebagai risiko kritikal atau ketara. Angka itu telah tinggi selama bertahun-tahun. Walau bagaimanapun, kesedaran mungkin bukan isu utama di sini, iaitu mengurangkan ancaman ini is.

45% organisasi tidak melakukan apa-apa untuk memantau geran OAuth secara besar-besaran

33% bergantung pada penjejakan manual seperti hamparan dan ulasan ad hoc

Hamparan yang memberitahu anda aplikasi mana yang mempunyai akses tidak sama dengan mengetahui apa yang dilakukan oleh aplikasi tersebut dengan akses tersebut. Satu ialah senarai. Satu lagi ialah keselamatan. Buat masa ini, kebanyakan pasukan hanya mempunyai senarai tersebut.

Serangan Sebenar Yang Telah Berlaku

Pada tahun 2024 dan 2025, seorang pelaku ancaman yang dikenali sebagai UNC6395 (dikesan oleh Palo Alto Unit 42) menggunakan token penyegaran OAuth yang dicuri daripada Drift, platform penglibatan jualan, untuk mengakses persekitaran Salesforce bagi lebih 700 organisasi. Drift mempunyai sambungan OAuth yang sah ke akaun Salesforce tersebut. Penyerang tersebut berjaya mendapatkan token tersebut, kemungkinan melalui serangan pancingan data terdahulu, dan terus masuk melalui pintu depan.

Apa yang Menjadikan Serangan Ini Begitu Berkesan
Tiada apa yang kelihatan mencurigakan. Token tersebut sah. Aplikasi tersebut dipercayai. Log masuk tidak pernah berlaku kerana penyerang langsung tidak log masuk. Mereka menunjukkan token sedia ada yang telah diberi kebenaran untuk digunakan oleh Drift. MFA tidak memainkan peranan kerana tiada kata laluan dimasukkan. Sebaik sahaja masuk, UNC6395 menarik data dan mencari kelayakan seperti kunci AWS, token Snowflake dan kata laluan. Cloudflare, PagerDuty dan berpuluh-puluh lagi terlibat di dalamnya.

Kesimpulannya bukanlah Drift merupakan aplikasi yang buruk. Kesimpulannya ialah aplikasi yang boleh dipercayai semasa pemasangan boleh menjadi risiko kemudian hari jika kelayakannya dicuri. Alat keselamatan anda perlu memerhatikan apa yang dilakukan oleh aplikasi yang disambungkan dari semasa ke semasa, bukan hanya kebenaran yang diminta pada hari pertama.

Mengapa Kebanyakan Alat Keselamatan Terlepas Ini

Kebanyakan alat keselamatan OAuth menjalankan tugasnya sebaik sahaja aplikasi disambungkan. Ia menyemak sama ada kebenaran yang diminta kelihatan berlebihan. Ia menandakan aplikasi daripada vendor yang tidak diketahui. Itu benar-benar berguna, dan anda sepatutnya melakukannya. Tetapi ia tidak mencukupi dengan sendirinya.

Aplikasi yang terkenal dan dipercayai dengan kebenaran yang munasabah akan lulus pemeriksaan tersebut dengan mudah. Jika kelayakan aplikasi itu dicuri enam bulan kemudian, semakan masa pemasangan anda tidak akan memberi apa-apa kesan. Risiko itu datang selepas kejadian itu.

Apa yang sebenarnya termasuk dalam pemantauan OAuth yang baik

Memerhatikan tingkah laku aplikasi dari semasa ke semasa, bukan hanya semasa persediaan. Lonjakan mendadak dalam akses data, pertanyaan pada waktu luar biasa atau permintaan untuk jenis data yang biasanya diabaikan oleh aplikasi semuanya patut ditandai. Semakan kebenaran statik tidak pernah melihat corak tersebut.
Memahami akaun siapa yang disambungkan. Token yang dikaitkan dengan peti masuk eksekutif yang penuh dengan kontrak sensitif membawa lebih banyak risiko berbanding token yang sama yang dikaitkan dengan akaun pekerja baharu. Pemantauan anda perlu mengambil kira apa yang sebenarnya boleh dicapai oleh akaun yang disambungkan.
Menjawab pada kelajuan yang betul. Aplikasi yang jelas berniat jahat tanpa vendor yang diketahui dan tingkah laku luar biasa dari hari pertama memerlukan tindakan segera. Integrasi yang dipercayai yang menunjukkan anomali kecil memerlukan semakan manusia terlebih dahulu. Proses tindak balas anda perlu membezakan kedua-dua situasi tersebut.

OAuth Dibina untuk Masa yang Lebih Mudah

Semasa OAuth direka bentuk, kes penggunaan biasa adalah sebilangan kecil aplikasi yang diluluskan IT yang mendapat akses terhad kepada kalendar kongsi. Itu adalah situasi yang boleh diurus. Hari ini, setiap pekerja menghubungkan alat AI, aplikasi pencatat nota, platform automasi dan alat tambah produktiviti secara bebas ke akaun kerja mereka. Setiap sambungan mencipta token. Tiada satu pun daripada token tersebut tamat tempoh secara automatik. Kebanyakan organisasi tidak tahu berapa banyak yang mereka ada.

Apabila alatan AI menjadi standard di tempat kerja, bilangan sambungan OAuth dalam persekitaran anda akan meningkat. Menyekat pekerja daripada menggunakan alatan AI sepenuhnya adalah tidak realistik, dan ia tidak akan dapat menghentikan serangan Drift memandangkan ia bermula dengan integrasi yang dipercayai dan diluluskan.

Perkara yang Boleh Anda Lakukan Sekarang

Mulakan dengan menarik senarai setiap aplikasi OAuth yang disambungkan ke persekitaran Google Workspace atau Microsoft 365 anda. Kedua-dua platform membenarkan pentadbir melakukan ini tanpa sebarang alat pihak ketiga. Cari aplikasi yang anda tidak kenali, aplikasi yang disambungkan ke akaun orang yang telah keluar dan aplikasi dengan kebenaran yang sangat luas seperti "baca semua mel" atau "akses semua fail". Itulah keutamaan pertama anda untuk disemak dan dibatalkan.

Dari situ, bina tabiat menyemak geran OAuth setiap suku tahun. Ia mengambil masa yang lebih singkat daripada yang anda fikirkan sebaik sahaja anda melakukan pembersihan awal, dan ia dapat mengelakkan senarai tersebut daripada menjadi tidak terkawal lagi. Apabila pekerja berhenti, sertakan pembatalan OAuth dalam senarai semak penyingkiran anda bersama-sama tetapan semula kata laluan dan penyahaktifan akaun.

Langkah Tindakan CyberHoot Anda
Minggu ini, log masuk ke Konsol Pentadbir Google atau portal Microsoft Entra anda dan cari senarai aplikasi pihak ketiga yang disambungkan. Kira jumlahnya. Anda mungkin akan terkejut. Pilih lima yang kelihatan paling tidak dikenali dan semak apa yang boleh diaksesnya. Batalkan mana-mana yang tidak sepatutnya. Tindakan tunggal itu menjadikan organisasi anda lebih selamat hari ini. Bersoraklah!