Trường hợp tê liệt công việc do tài khoản Google Workspace bị đình chỉ

 (zencapital.substack.com)
1 điểm bởi GN⁺ 16 ngày trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Một sự cố trong đó tài khoản Google Workspace bị đình chỉ do nghi ngờ bị hack, khiến email và quyền truy cập dịch vụ bị chặn, và dù đã chứng minh quyền sở hữu tên miền bằng xác thực DNS, việc khôi phục vẫn bị trì hoãn
  • Một tài khoản quản trị duy nhất hoạt động như trung tâm xác thực cho mọi hệ thống công việc như email, Drive, Calendar, bảng lương, CRM, v.v., nên ngay khi bị đình chỉ đã xảy ra tình trạng toàn công ty không thể truy cập
  • Sau khi xóa số điện thoại khôi phục trong lúc đăng nhập ở nước ngoài, một cảnh báo bảo mật sai đã xuất hiện, dẫn đến sự cố không thể đăng nhập, đến mức cả mã dự phòng và passkey cũng trở nên vô dụng
  • Việc khôi phục bị chậm do quy trình chờ 30 ngày và sự lẫn lộn từ các ticket lặp lại của đội hỗ trợ Google, và ngay cả khi liên hệ qua cộng đồng và mạng xã hội cũng chỉ nhận được câu trả lời là “hãy chờ”
  • Sau hơn 40 giờ công việc bị gián đoạn, tài khoản được khôi phục nhờ sự can thiệp của một nhân viên Google, qua đó cho thấy sự phụ thuộc vào một tài khoản duy nhất là rủi ro chí mạng đối với tính liên tục kinh doanh

Trường hợp tê liệt công việc do tài khoản Google Workspace bị đình chỉ

  • Trường hợp tài khoản Google Workspace bị đình chỉ vì “nghi ngờ bị hack”, khiến quyền truy cập email bị chặn

    • Thực tế là chính chủ đã đăng nhập trong một chuyến công tác nước ngoài, nhưng Google đã nhầm đây là hành vi chiếm đoạt tài khoản
    • Dù đã chứng minh quyền sở hữu tên miền thông qua xác thực DNS, toàn bộ việc gửi và nhận email vẫn bị dừng

  • Một tài khoản quản trị duy nhất hoạt động như trung tâm xác thực cho mọi dịch vụ

    • Email, Drive, Calendar, hệ thống bảng lương, CRM (Pipedrive), ứng dụng quản lý công việc và các hệ thống nội bộ đều phụ thuộc vào Google OAuth
    • Ngay khi tài khoản bị đình chỉ, quyền truy cập vào mọi dịch vụ bị chặn, dẫn đến đình trệ công việc trên toàn công ty

  • Diễn biến sự cố

    • Khoảng 5 giờ sáng ngày 4/4, trong lúc đi công tác nước ngoài, người dùng đã xóa số điện thoại khôi phục để tránh xác thực qua SMS
    • Ngay sau đó xuất hiện một cảnh báo bảo mật sai rằng “ứng dụng xác thực đã bị gỡ bỏ”, rồi chuyển sang trạng thái không thể đăng nhập
    • Mã dự phòng, passkey và cả các thiết bị đã đăng nhập đều không hoạt động như phương thức xác thực

  • Nỗ lực khôi phục và sự lẫn lộn trong hỗ trợ của Google

    • Đã hoàn tất xác thực bằng bản ghi DNS CNAME/TXT, nhưng quy trình email khôi phục yêu cầu phải chờ 30 ngày
    • Đã yêu cầu hỗ trợ bằng một tài khoản Workspace khác, nhưng chỉ được cung cấp liên kết yêu cầu đăng nhập nên không thể tiếp tục
    • Tình trạng hỗn loạn lặp đi lặp lại khi các ticket bị trùng lặp, đóng rồi mở lại giữa nhiều nhân viên hỗ trợ khác nhau
    • Ngay cả khi hỏi trên diễn đàn cộng đồng và X.com cũng chỉ liên tục nhận được câu trả lời là “hãy chờ”

  • Thiệt hại công việc và thời gian trôi qua

    • Việc khôi phục bị chậm hơn 40 giờ khiến xử lý bảng lương, các cuộc họp Google Meet và lịch đàm phán kinh doanh đều bị đình trệ
    • Dù đã thay thế một phần công việc bằng email cá nhân, vẫn có giới hạn vì cần duy trì sự tách biệt với tài khoản công việc

  • Cập nhật bổ sung

    • Cập nhật 1: Có thể đổi bản ghi MX sang dịch vụ mail khác, nhưng không thể khôi phục email và lịch hiện có
    • Cập nhật 2: Lời hứa từ đội hỗ trợ Google rằng “sẽ cập nhật sau 1~2 giờ” được lặp lại nhiều lần nhưng việc giải quyết vẫn chậm trễ
    • Cập nhật 3: Cuối cùng đã khôi phục đăng nhập thành công nhờ sự can thiệp trực tiếp của một nhân viên Google

Bài học sau sự cố và phản ứng từ cộng đồng

  • Người dùng Hacker News chỉ ra rằng nhiều tín hiệu rủi ro đã xuất hiện cùng lúc, như thay đổi quốc gia, xóa số điện thoại khôi phục và chưa đổi MX
  • Tác giả giải thích rằng sau khi đổi quốc gia đã sử dụng bình thường trong 6 ngày với cùng IP, và việc xóa số điện thoại đã trở thành nguyên nhân trực tiếp
  • Có thể đổi MX sang Fastmail hoặc Protonmail, nhưng do vấn đề với email, lịch và đăng nhập OAuth hiện có, đây không phải là giải pháp thay thế thực tế
  • Dù vẫn giữ xác thực hai bước, passkey, mã dự phòng, email khôi phục và quyền truy cập trên cùng thiết bị, việc khôi phục vẫn thất bại
  • Đây là một trường hợp cho thấy sự phụ thuộc quá mức vào một tài khoản Google Workspace duy nhất là rủi ro nghiêm trọng đối với tính liên tục kinh doanh

Bài viết liên quan

1 bình luận

 
GN⁺ 16 ngày trước
Ý kiến trên Hacker News

  • Google trước đây có vẻ là "ông lớn công nghệ ít xấu xa hơn", nhưng trải nghiệm hỗ trợ khách hàng thực tế thì khủng khiếp
    Đã mua Pixel nhưng không nhận được gói đăng ký Gemini AI Pro 1 năm như đã hứa, và bộ phận chăm sóc khách hàng không giải quyết được gì
    Một người bạn cũng gặp vấn đề tương tự, và khi đổi gói Google One cũng trải qua kiểu không phản hồi như vậy
    Giờ thì trừ khi chi hàng triệu đô la, không hiểu còn lý do gì để chọn dịch vụ của Google

    • Tôi mua Pixel 6a nhưng pin hỏng sau 400 lần sạc. Google nói sẽ bồi thường 100 USD, nhưng sau khi nộp đủ giấy tờ vẫn không nhận được tiền. Google quá tệ
    • Google từ lâu đã giống hệt các big tech khác, tức là cũng là một "công ty xấu xa". “Don’t be evil” chỉ là câu khẩu hiệu PR
      Khoảng năm 2008, khi tôi hỏi về lỗi Blogspot, một tình nguyện viên “kim cương” đã phớt lờ tôi. Không có cách nào để tiếp cận đội hỗ trợ thật sự
    • Tò mò không biết những trường hợp như vậy có thể giải quyết bằng tòa án khiếu kiện giá trị nhỏ (small claims court) hay không. Muốn biết đây có phải là cách thực tế để người tiêu dùng đối phó với vi phạm hợp đồng hay không
    • Tài khoản Adsense của tôi đã bị đình chỉ suốt 13 năm, rồi được mở lại mà không biết lý do. Có lẽ đối thủ đã gửi lượt nhấp giả
    • Google đã phá vỡ lời hứa không dùng dữ liệu người dùng để quảng cáo từ 10 năm trước rồi
      Theo bài viết Google’s broken privacy promise, họ đã xóa điều khoản nói rằng sẽ không kết hợp thông tin thu được từ các dịch vụ như Gmail với dữ liệu quảng cáo

  • Lại có thêm một bài viết kiểu “nhà cung cấp cloud khóa tài khoản và tôi mất tất cả”
    Không chỉ Google mà bất kỳ ai phụ thuộc vào dịch vụ cloud của Amazon, Microsoft, Apple... cũng nên có kế hoạch dự phòng khi tài khoản bị khóa
    Nếu đang giao dữ liệu quan trọng cho họ, thì backup hoặc phương án thay thế là điều bắt buộc

    • Trước đây có người nói “đừng gắn bó với dịch vụ cloud nào nếu bạn không thể rời đi trong 30 giây” — trích Robert De Niro
    • Công ty chúng tôi đang dùng Cubebackup để backup Google Workspace
      Việc có một "backup bên ngoài" có thể khôi phục được, nằm ngoài dịch vụ SaaS, khó hơn tưởng tượng nhưng thực sự cần thiết
    • Đây là một trong những lời cảnh báo xuất hiện nhiều nhất trên HN. Chỉ đứng sau kiểu “nếu không dùng Claude Code thì sẽ bị bỏ lại phía sau”
    • Lý do Google đặc biệt nghiêm trọng là vì những người bình thường không có kiến thức kỹ thuật có thể mất tài khoản email duy nhất của mình mà hoàn toàn không biết cách khôi phục
    • Tình huống này chẳng khác gì “bị đuổi khỏi tòa nhà thuê và cả đồ đạc cũng bị vứt đi”. Cuối cùng thì luật phải được sửa

  • Nên tránh dùng tính năng “Login with Google/Apple/Facebook” nếu có thể
    Vì nó tạo ra một điểm lỗi duy nhất. Nếu có thể thì dùng hệ thống đăng nhập riêng sẽ an toàn hơn
    Là một cựu Googler, tôi chỉ dùng Gmail khi còn có quyền truy cập nội bộ, và sau khi nghỉ việc thì cũng bỏ Gmail luôn

    • Tôi từng đọc bài viết nói hệ thống eIDAS của Đức yêu cầu tài khoản Google hoặc Apple. Điều đó có nghĩa là xác thực cấp quốc gia bị phụ thuộc vào big tech
    • Ứng dụng của chúng tôi cũng hỗ trợ đăng nhập bằng Google/Facebook, nhưng hai công ty này chặn đăng nhập tự động kiểu Selenium nên không thể làm kiểm thử E2E
    • Tailscale là công ty duy nhất tôi thấy chỉ cung cấp đăng nhập bên thứ ba, nên cảm thấy khá lạ. Có ai biết lý do không?
    • Thay vào đó, Tailscale cung cấp SSO tùy chỉnh miễn phí

  • Tôi là quản trị viên hệ thống tình nguyện của diễn đàn Buildhub
    Diễn đàn này đã ở top tìm kiếm Google suốt 10 năm, nhưng đến ngày 28 tháng 12 năm 2025 thì đột ngột biến mất khỏi chỉ mục
    Diễn đàn Google thì trống rỗng, không có ai để liên hệ. Với tư cách là người dùng Workspace trả phí, tôi đang nghiêm túc cân nhắc phương án dự phòng

    • Trên các diễn đàn của Google, Microsoft, Apple có rất nhiều người xây portfolio bằng những câu trả lời vô nghĩa
      Một số có vẻ đang cố chơi hệ thống để được mời đến Google HQ

  • Tôi là người dùng Google Glass đời đầu vào năm 2013. Được đào tạo trực tiếp tại trụ sở New York, và còn có số hỗ trợ riêng phản hồi 24/7
    Tôi làm hỏng thiết bị hai lần mà vẫn được thay miễn phí. Ngày xưa từng có kiểu hỗ trợ khách hàng như vậy

    • Thực ra lúc đó chúng tôi gần như là đội ngũ thử nghiệm bằng nguồn lực tự nguyện. Khi sản phẩm chuyển sang đội khác thì sự quan tâm cũng biến mất
    • So sánh 8.000 người dùng Glass ban đầu với hàng trăm triệu người dùng Workspace thì chênh lệch chất lượng hỗ trợ là điều tất nhiên
    • Chính sách đổi không giới hạn hồi đó chỉ là chi phí R&D, không phải làm từ thiện
    • Trước đây khi tôi gọi vào số hỗ trợ Google Wifi thì được kết nối ngay, nhưng giờ chỉ nghe thông báo “hỗ trợ đã kết thúc”
    • Khi Stadia hoàn tiền thì ngoại lệ là tôi đã được hoàn lại toàn bộ số tiền đã thanh toán.
      Chất lượng hỗ trợ khách hàng của Google khác nhau rất xa tùy từng bộ phận sản phẩm. Workspace là tệ nhất trong số đó

  • Tình trạng này ở mức gần như bất hợp pháp
    Khi các tập đoàn khổng lồ kiểm soát ngày càng nhiều phần trong cuộc sống, người bình thường ngày càng bất lực hơn
    Nếu cung cấp dịch vụ thiết yếu thì phải gánh trách nhiệm tương xứng

    • Các dịch vụ cloud được hơn 1% dân số sử dụng nên bị bắt buộc có trung tâm hỗ trợ khách hàng ngoại tuyến ở mỗi thành phố
      Giống như nhà mạng, mỗi cửa hàng đều phải có nhân viên, và Google hoàn toàn đủ khả năng làm điều đó
    • Cần có cổng tiếp nhận khiếu nại big tech ở cấp chính phủ
    • “Exerting power” mà lại thành “Excreting power” thì tuy sai về câu chữ nhưng tưởng tượng ra cũng buồn cười

  • Tôi từng trải qua quy trình khôi phục tài khoản quản trị, và chính sách bảo mật rất mâu thuẫn
    Dù tài khoản đã được mở thủ công, hệ thống vẫn yêu cầu xác thực SMS bằng số điện thoại đã bị xóa
    Dù có thêm security key hay TOTP thì SMS vẫn là bắt buộc. Nếu số điện thoại bị chiếm đoạt thì coi như hết

    • Tài khoản Gmail của tôi cũng bị bắt buộc bật 2FA mà không báo trước.
      Dù có ID, mật khẩu, email khôi phục đầy đủ, tôi vẫn không thể đăng nhập vì nó yêu cầu xác thực SMS đến một số không còn tồn tại
      Meta ít nhất còn có người giải quyết nếu trả tiền, còn Google thì hoàn toàn không có

  • Nếu dùng Google Workspace mà không có đội vận hành cấp enterprise, thì một tài khoản quản trị duy nhất sẽ trở thành điểm lỗi duy nhất
    Tôi từng rơi vào vòng lặp xác thực khiến mọi cách đều bị chặn, và chỉ sau nhiều lần đe dọa hành động pháp lý mới có thể nói chuyện với người thật để giải quyết

  • Có khả năng tác giả bài viết đã bị hack. Kẻ tấn công có thể đã chiếm được thiết bị OTP hoặc quyền truy cập DNS nhưng chưa lấy được số điện thoại
    Trong tình huống như vậy thì không có cách nào để chứng minh mình là chủ tài khoản. Sẽ tốt hơn nếu có văn phòng cho phép mang hộ chiếu đến xác minh trực tiếp

    • Sẽ tốt hơn nếu có tùy chọn đăng ký giấy tờ tùy thân do chính phủ cấp một cách tự nguyện
      Mô hình xác minh danh tính ở bưu điện như của Mỹ trong login.gov khá thú vị
      Tuy vậy, về mặt thương mại thì khó triển khai, và xu hướng bắt buộc xác minh danh tính trực tuyến cũng gây cảm giác phản đối
    • Nếu người dùng này thực sự đã bị hack, thì việc khôi phục tài khoản Gmail là bất khả thi
      Google khóa tài khoản lại thay vì cố xác định ai mới là người đúng

  • Khó tin nhưng Microsoft (Office365) thực sự có đội hỗ trợ có thể gọi điện được
    Giao diện thì kinh khủng nhưng cuối cùng họ vẫn giải quyết được vấn đề

    • Cũng từng có bài viết nói Azure tự động hóa quá tệ nên hàng nghìn nhân viên hợp đồng phải sửa lỗi thủ công
      Nhưng nhờ vậy mà lại có ưu điểm là có nhiều người thực sự có thể xử lý vấn đề
      Bài liên quan: HN discussion