- 64% ứng dụng bên thứ ba truy cập dữ liệu nhạy cảm mà không có lý do hợp lệ, theo nghiên cứu 2026 phân tích 4.700 website.
- OAuth refresh token không bao giờ tự hết hạn - app bạn cài từ năm ngoái có thể đang đọc inbox ngay lúc này.
- Bạn có thể thu hồi toàn bộ quyền trong dưới 2 phút tại myaccount.google.com/security.
TL;DR
Mỗi lần bạn bấm "Allow" cho một app đọc Gmail, ứng dụng đó nhận một refresh token không có ngày hết hạn. Nó sẽ tiếp tục quét inbox - password resets, thông báo ngân hàng, tin nhắn riêng tư - cho đến khi bạn chủ động thu hồi. Nghiên cứu 2026 cho thấy 64% ứng dụng bên thứ ba đang truy cập dữ liệu nhạy cảm mà không có lý do nghiệp vụ hợp lệ.
Quy mô vấn đề: 5.000+ app, 64% không có lý do
Có hơn 5.000 ứng dụng được thiết kế để tích hợp với Gmail trên Google Workspace Marketplace. AI email assistant, CRM sync, automation platforms như n8n hay Zapier, browser extensions "tiện ích nhỏ" - tất cả đều hoạt động theo cùng một cơ chế: OAuth 2.0 authorization. Bạn click Allow, họ nhận token, và access bắt đầu.
Vấn đề không nằm ở cơ chế - OAuth thực ra an toàn hơn nhiều so với việc cho app biết mật khẩu. Vấn đề là access không bao giờ tự hết hạn. Một nghiên cứu tháng 1/2026 phân tích 4.700 website hàng đầu phát hiện: 64% ứng dụng bên thứ ba truy cập dữ liệu nhạy cảm mà không có lý do nghiệp vụ chính đáng - tăng từ 51% năm 2024, và đang leo thang 25% mỗi năm.
Chúng thấy gì trong inbox của bạn
Tùy vào permission scope bạn đã cấp lúc authorize, một ứng dụng có thể xem toàn bộ:
- Nội dung email đầy đủ - tiêu đề, body text, quoted text trong thread
- Thông tin người gửi và người nhận (địa chỉ email, tên hiển thị)
- Timestamps, cấu trúc thread
- File đính kèm (metadata và đôi khi nội dung)
- Labels và folder structure của bạn
Scope nguy hiểm nhất là gmail.modify hoặc mail.google.com - cho phép app đọc, gửi, và xóa email vĩnh viễn thay mặt bạn. Nhiều AI assistant yêu cầu scope này ngay cả khi chức năng thực sự chỉ cần đọc vài dòng tiêu đề.
Và quan trọng hơn: khi bạn xóa một app khỏi điện thoại, quyền truy cập của nó vào Gmail không tự động bị thu hồi. App có thể không còn trên máy bạn, nhưng token vẫn đang chạy phía server của họ.
Vì sao access tồn tại mãi - và blind spot nguy hiểm nhất
OAuth hoạt động qua hai loại token: access token (ngắn hạn, dùng cho API calls) và refresh token (tồn tại vô thời hạn, tự gia hạn access token khi cần). Refresh token không bao giờ hết hạn trừ khi bạn thu hồi thủ công từ phía Google.
Điều này tạo ra một blind spot nghiêm trọng: app bạn thử dùng một lần năm ngoái, rồi xóa khỏi điện thoại - có thể vẫn đang đọc inbox của bạn mỗi ngày. Google không gửi thông báo khi một app kết nối tiếp tục hoạt động.
Nguy hiểm hơn với môi trường doanh nghiệp: khi một nhân viên nghỉ việc và tài khoản Google Workspace của họ bị xóa, các app bên thứ ba mà họ đã authorize không tự động bị thu hồi. Dữ liệu công ty vẫn bị lộ cho đến khi admin phát hiện và can thiệp thủ công. Waldo Security ước tính phần lớn tổ chức không có visibility về chính xác có bao nhiêu app đang giữ access kiểu này.
Thu hồi quyền trong 2 phút
Không cần công cụ gì đặc biệt. Đây là quy trình:
- Truy cập myaccount.google.com/security
- Kéo xuống mục "Third-party apps with account access" và bấm vào
- Duyệt toàn bộ danh sách - kiểm tra từng app đang có quyền gì
- Bấm vào bất kỳ app không nhận ra, không còn dùng, hoặc yêu cầu quyền rộng hơn mức cần thiết
- Chọn "Remove Access"
Xóa access là tức thì. App ngay lập tức mất khả năng gọi Gmail API. Bạn luôn có thể authorize lại sau nếu cần. Trong khi bạn đang ở trang đó, bật thêm Two-Factor Authentication nếu chưa có - bảo mật third-party app vô nghĩa nếu chính tài khoản Google dễ bị chiếm.
5 câu hỏi trước khi bấm Allow lần sau
Không phải app nào đọc Gmail đều nguy hiểm - có những AI email assistant được xây dựng nghiêm túc, có kiểm tra độc lập. Checklist trước khi kết nối:
- App dùng Google Sign-In window không? Nếu yêu cầu nhập password trực tiếp - từ chối ngay. Google đã cấm practice này từ tháng 10/2024.
- Scope có hợp lý không? Tool chỉ tóm tắt email không cần quyền xóa hay gửi. Yêu cầu scope rộng hơn chức năng thực = red flag.
- Privacy policy có nói rõ "không train AI trên data của bạn"? Ngôn ngữ mờ hồ như "may use data to improve services" có thể có nghĩa là email của bạn đang feed vào model training.
- Mã hóa đầy đủ không? TLS 1.2+ khi truyền, AES-256 khi lưu - đây là baseline tối thiểu năm 2026, không phải tính năng premium.
- Có chứng chỉ bảo mật độc lập không? SOC 2 Type II hoặc CASA Tier 2 (Google's own security assessment) là dấu hiệu vendor đã được kiểm tra thực sự.
Nguồn & đọc thêm
Dữ liệu và hướng dẫn kỹ thuật tổng hợp từ: Google Account Help, InboxZero (2026), The Hacker News - Jan 2026, alfred_ security guide, Waldo Security.