Google Drive Desktop ilovasida jiddiy zaiflik: foydalanuvchilar bir-birining fayllariga to‘liq kirishi mumkin

Google Drive Desktop dasturining Windows uchun mo‘ljallangan versiyasida xavfli zaiflik aniqlandi. Ushbu xato tufayli bitta kompyuterda ro‘yxatdan o‘tgan foydalanuvchi boshqa foydalanuvchining Drive fayllariga parol yoki autentifikatsiyasiz kirishi mumkin.

Zaiflikning mohiyati

Muammo ilovaning DriveFS keshlash tizimi bilan bog‘liq. Dastur Windows profilida sinxronlashtirilgan fayllarni maxsus katalogda saqlaydi, biroq ular orasidagi izolyatsiya yetarli darajada ta’minlanmagan. Natijada, xaker yoki oddiy foydalanuvchi boshqa odamning DriveFS papkasini nusxalab olib, uni o‘z papkasiga almashtirsa, Google Drive ilova qayta ishga tushirilganda go‘yo ularning hisobiga kirgandek barcha fayllarni yuklab beradi.

Bunday holatda:

  • Zero Trust tamoyili buziladi — tizim foydalanuvchi shaxsini tekshirmasdan keshlangan ma’lumotni qabul qiladi.
  • Shifrlash (Encryption at Rest) ishlatilmaydi — fayllar individual foydalanuvchi bo‘yicha emas, umumiy tarzda keshlanadi.
  • Qayta autentifikatsiya talab qilinmaydi — boshqa profilning ma’lumotlari parolsiz ochiladi.

Xavf darajasi

Bu zaiflik ayniqsa ko‘p foydalanuvchi ishlatadigan muhitlarda (ofislar, universitetlar, kiberkafe va kovorking markazlari) xavf tug‘diradi. Oddiy foydalanuvchi hamkorining Drive keshlangan fayllarini o‘g‘irlab, shaxsiy hujjatlar, moliyaviy ma’lumotlar, HR fayllari yoki korporativ kodlarga kirishi mumkin.

2024-yilgi Verizon DBIR hisobotiga ko‘ra, barcha ma’lumot buzilishlarining 22 foizi insayder tahdidlari bilan bog‘liq bo‘lib, ular kompaniyalarga o‘rtacha 15,38 million dollar zarar keltirmoqda (Ponemon/IBM, 2022).

Shu sababli bu zaiflik nafaqat maxfiylikni, balki kompaniyalarning GDPR, HIPAA kabi global qonunchiliklarga muvofiqligini ham xavf ostiga qo‘yadi.

Google’ning pozitsiyasi

Zaiflikni kashf etgan tadqiqotchi uni Google’ning maxsus xavfsizlik dasturiga xabar qilgan, biroq Google buni “xavfsizlik muammosi hisoblanmaydi” deb javob bergan. Bu esa jiddiy tanqidga sabab bo‘lmoqda, chunki muammo NIST SP 800-53, ISO 27001, SOC 2 kabi xalqaro standartlarda ko‘zda tutilgan izolyatsiya va autentifikatsiya talablariga zid.

Foydalanuvchilarga tavsiyalar

Google muammoni bartaraf etmaguncha foydalanuvchilarga quyidagilarni amalga oshirish tavsiya etiladi:

  • Google Drive Desktop’ni faqat shaxsiy kompyuterlarda ishlatish.
  • Windows’da foydalanuvchi profillari uchun qat’iy ruxsatlar o‘rnatish.
  • Ilovani faqat yagona foydalanuvchi ishlatadigan va boshqariladigan qurilmalarda ishga tushirish.

🔒 Xulosa qilib aytganda, Google Drive Desktop’dagi bu zaiflik foydalanuvchilar ma’lumotlarini sezilarli darajada xavf ostiga qo‘ymoqda. Muammoni bartaraf etish esa Google zimmasiga yuklatilgan, chunki foydalanuvchilar xizmatdan foydalanishda xavfsizlikni ta’minlashni birinchi navbatda provayderdan kutadi.