Securitatea Microsoft nepăsătoare îi pune pe utilizatori onedrive la un risc grav
WTF?! OneDrive este unul dintre cele mai populare servicii de stocare în cloud de pe piață, în mare parte pentru că Microsoft îl promovează agresiv pentru utilizatorii Windows. Cu toate acestea, cercetătorii de securitate avertizează că funcția de selecție a fișierelor OneDrive poate expune utilizatorii și organizațiile la riscuri grave de date, acordând acces complet la citire la părți neautorizate.
Microsoft este extrem de nepăsător, cu granițe de securitate în OneDrive. O analiză recentă de securitate OASIS a relevat faptul că instrumentul de selecție a fișierelor OneDrive poate acorda site-uri web, aplicații și utilizatori din afară accesul complet la citire la tot conținutul stocat pe serviciu. Acest defect clar pune atât utilizatorii individuali, cât și corporațiile în pericol, ceea ce a determinat Oasis să recomande un audit amănunțit al tuturor permisiunilor acordate anterior.
File Picker oferă companiilor și utilizatorilor încărcări rapide și ușoare de fișiere din conturile lor OneDrive. Multe servicii online, inclusiv ChatGPT de la OpenAI, folosesc această caracteristică. Cu toate acestea, în loc să restricționeze accesul la un fișier specific, instrumentul acordă serviciilor externe acces la întregul spațiu de stocare.
Oasis estimează că sute de aplicații sunt afectate de problemă, inclusiv ChatGPT, Slack, Trello, Clickup și altele. Drept urmare, milioane de utilizatori au acordat probabil aceste servicii acces fără restricții la fișierele lor OneDrive. Această expunere ar putea duce la scurgeri de date și încălcări de confidențialitate, în timp ce organizațiile riscă să încalce conformitatea cu reglementarea.
Oasis a criticat, de asemenea, Microsoft pentru utilizarea unui limbaj vag și înșelător atunci când a solicitat utilizatorilor să inițieze o încărcare a fișierului. Acesta susține că Microsoft nu reușește să dezvăluie întreaga amploare a accesului acordat prin intermediul File Picker, lăsând clienților să nu poată face distincția între solicitările legitime și încercările potențial rău intenționate de a exfiltra datele.
Oasis avertizează, de asemenea, că jetoanele secrete folosite pentru a acorda solicitări de acces sunt adesea stocate în mod nesigur în mod implicit. În versiunea 8.0 a File Picker, dezvoltatorii trebuie să implementeze autentificarea folosind Biblioteca de autentificare Microsoft (MSAL) cu fluxul de autorizare al OAuth. Cu toate acestea, MSAL API stochează jetoane în stocarea sesiunii browserului în text simplu, iar fluxul de autorizare poate extinde accesul la nesfârșit printr -un jeton de actualizare.
„Lipsa unor scopuri OAuth cu granulație fină combinată cu promptul de utilizator vag al Microsoft este o combinație periculoasă care pune atât de risc utilizatorii personali, cât și întreprinderi”, a spus Oasis.
Drept urmare, utilizatorii individuali și administratorii întreprinderii ar trebui să examineze orice permis de acces la terți pe care i-au acordat anterior-un proces Oasis conturează într-o listă de verificare detaliată. Cercetătorii au raportat deja defectul către Microsoft și furnizorii terți afectați, iar Redmond are în vedere îmbunătățiri viitoare ale serviciului.
