Ibrahim Raafat นักวิจัยความปลอดภัยจากอียิปต์รายงานปัญหาความปลอดภัย Cross Site Scripting (XSS) บนเว็บ Google Drive ด้วยการตั้งชื่อโฟลเดอร์ว่า ‘”><svg/onload=prompt(1337)> จากนั้นจึงย้ายเอกสารเข้าไปในโฟลเดอร์นี้ แล้วย้ายเอกสารออกไปยังโฟลเดอร์อื่น จะทำให้โค้ดจาวาสคริปต์ถูกรัน

กูเกิลยอมรับปัญหานี้และแก้ปัญหาในเวลาต่อมา พร้อมกับจ่ายเงินรางวัลให้กับทีมงานเป็นเงิน 1337 ดอลลาร์

Raafat อธิบายว่าปัญหานี้เกิดจากโค้ดส่วนแจ้งเตือนผู้ใช้ที่แจ้งเตือนการย้ายเอกสารออกจากโฟลเดอร์ว่าผู้ใช้อื่นที่แชร์โฟลเดอร์อยู่จะมองไม่เห็นเอกสารอีกต่อไป โค้ดส่วนนี้ไม่ได้เช็คชื่อโฟลเดอร์ให้ดีทำให้แฮกเกอร์สามารถรันโค้ดได้เอง

แฮกเกอร์สามารถรันโค้ดใดๆ บนบัญชีผู้ใช้ของเหยื่อได้ด้วยการแชร์โฟลเดอร์ไปยังเหยื่อแล้วพยายามล่อให้เหยื่อย้ายไฟล์ในโฟลเดอร์นั้นไปเก็บไว้ที่อื่น

ที่มา - PWNRules