Дослідники попередили, що хмарний сервіс OneDrive може надавати стороннім веб-додаткам доступ до всіх файлів користувача.

Як розповідають фахівці Oasis Security, уразливість пов’язана з роботою OneDrive File Picker і дає змогу сайтам отримувати доступ до всього сховища користувача, а не тільки до файлів, обраних для завантаження за допомогою цього інструменту.

“Це пов’язано з надмірно широкими областями дії OAuth і діалоговими вікнами, що вводять в оману і не дають користувачеві чіткого уявлення про масштаби наданого доступу. Уразливість може мати серйозні наслідки, включно з витоком даних клієнтів і порушенням нормативних вимог”, – пояснюють дослідники.

За оцінками компанії, проблема зачіпає низку застосунків, включно з ChatGPT, Slack, Trello, Zoom і ClickUp, з огляду на їхню інтеграцію з хмарним сервісом Microsoft.

Корінь проблеми криється в надмірних дозволах, запитуваних OneDrive File Picker, який вимагає доступ на читання до всього сховища, навіть у тих випадках, коли завантажується лише один файл. Це відбувається через відсутність детальних налаштувань OAuth для OneDrive.

“Простіше кажучи, будь-який веб-додаток, що використовує OneDrive File Picker, має доступ не тільки до обраного вами файлу для завантаження/скачування, а й до всього OneDrive. Гірше того, цей доступ може зберігатися навіть після завершення завантаження файлу”, – пояснюють дослідники.

Користувачам рекомендується розглянути можливість тимчасового вимкнення функції завантаження файлів з використанням OneDrive і OAuth, поки не буде знайдена безпечна альтернатива. Також дослідники радять уникати використання токенів оновлення і зберігати токени доступу в безпечному місці, а також видаляти їх, якщо вони більше не потрібні.