OneDrive, jedna z najpopularniejszych usług chmurowych na świecie (głównie dzięki intensywnej promocji ze strony Microsoftu w systemie Windows) znalazła się pod ostrzałem ekspertów ds. bezpieczeństwa. Jak wynika z najnowszego raportu firmy Oasis Security, narzędzie File Picker, wykorzystywane do udostępniania plików z chmury, może bez wiedzy użytkownika przyznawać pełen dostęp do zawartości konta osobom trzecim.
File Picker został zaprojektowany jako szybkie i wygodne rozwiązanie umożliwiające integrację OneDrive z aplikacjami internetowymi i usługami online. Korzystają z niego m.in. ChatGPT, Slack, Trello czy ClickUp, co oznacza, że miliony użytkowników na całym świecie mogły nieświadomie udzielić tym platformom pełnego wglądu w swoje dane.
File Picker został zaprojektowany jako szybkie i wygodne rozwiązanie umożliwiające integrację OneDrive z aplikacjami internetowymi i usługami online.
Zamiast ograniczać dostęp do pojedynczego pliku, File Picker, jak wykazali badacze z Oasis, często przyznaje pełen (choć tylko do odczytu) dostęp do całej zawartości konta OneDrive. To ogromne zagrożenie dla prywatności użytkowników indywidualnych, ale także realne ryzyko naruszenia przepisów dotyczących ochrony danych w środowiskach korporacyjnych.
_4d755c2963.jpg)
Microsoft pod ostrzałem za niejasne komunikaty
Kolejnym problemem jest sposób, w jaki Microsoft komunikuje użytkownikom udzielanie uprawnień. Zdaniem Oasis Security, formularze i powiadomienia są nieprecyzyjne i nieujawniają pełnego zakresu dostępu, co utrudnia użytkownikom ocenę, czy ich dane są bezpieczne.
Dodatkowo, tokeny dostępowe wykorzystywane przez File Picker są często przechowywane w pamięci sesji przeglądarki w postaci czystego tekstu, co ułatwia ich przejęcie przez potencjalnych atakujących. Nawet jeśli usługa opiera się na Microsoftowej bibliotece uwierzytelniania MSAL i protokole OAuth, to brak precyzyjnie zdefiniowanych zakresów dostępu (scopes) staje się poważną luką.
Co można zrobić?
Oasis Security opublikowało listę kontrolną, dzięki której zarówno użytkownicy indywidualni, jak i administratorzy IT mogą zweryfikować, jakie uprawnienia zostały nadane aplikacjom trzecim i ewentualnie je cofnąć. Firma zapewnia, że poinformowała już o problemie zarówno Microsoft, jak i partnerów wykorzystujących File Picker.
Microsoft, według nieoficjalnych informacji, rozważa wprowadzenie zmian w File Pickerze w przyszłości, ale na razie nie ogłoszono żadnych konkretnych terminów czy poprawek.
Pokaż / Dodaj komentarze do: Uważajcie na OneDrive. Pliki milionów użytkowników mogą zostać ujawnione