OneDrive: небезпеки, що ховаються за популярністю хмарного сховища

OneDrive є одним з найбільш популярних хмарних сервісів для зберігання даних на ринку, що здебільшого пояснюється агресивною рекламою від Microsoft серед користувачів Windows. Однак дослідники з безпеки попереджають, що функція File Picker у OneDrive може відкривати серйозні ризики для даних користувачів та організацій, надаючи несанкціонованим особам повний доступ для перегляду файлів.

Microsoft виявляється надзвичайно неуважною до питань безпеки в OneDrive. Останній аналіз від Oasis Security показав, що інструмент File Picker може надавати стороннім вебсайтам, додаткам і користувачам доступ до всього вмісту, що зберігається в хмарному сховищі. Ця серйозна вразливість ставить під загрозу як індивідуальних користувачів, так і компанії, що викликає рекомендації Oasis щодо проведення ретельної перевірки всіх раніше наданих дозволів.

Функція File Picker та її ризики

File Picker дозволяє компаніям та користувачам швидко завантажувати файли з їхніх акаунтів OneDrive. Багато онлайн-сервісів, зокрема ChatGPT від OpenAI, використовують цю функцію. Однак, замість того, щоб обмежувати доступ лише до конкретного файлу, інструмент надає зовнішнім сервісам доступ до всього вмісту сховища.

Oasis оцінює, що сотні додатків можуть бути вражені цією проблемою, зокрема ChatGPT, Slack, Trello, ClickUp та інші. Як наслідок, мільйони користувачів ймовірно надали цим сервісам безперешкодний доступ до своїх файлів на OneDrive. Таке розкриття може призвести до витоків даних і порушень конфіденційності, а організації можуть зіткнутися з порушеннями вимог регулювання.

Проблеми з безпекою і зберіганням токенів

Oasis також критикує Microsoft за використання невизначених та оманливих формулювань при запиті дозволу на завантаження файлів. За їх словами, Microsoft не повідомляє користувачам про повний обсяг доступу, наданого через File Picker, що ускладнює розуміння між легітимними запитами та потенційними шкідливими спробами витоку даних.

Додатково Oasis попереджає, що секретні токени, що надають доступ до даних, часто зберігаються без належного шифрування. У версії 8.0 File Picker розробники повинні використовувати аутентифікацію через бібліотеку Microsoft Authentication Library (MSAL) із використанням потоку авторизації OAuth. Однак API MSAL зберігає токени в сесійній пам’яті браузера у відкритому вигляді, а потік авторизації може безперервно продовжувати доступ до даних через токени оновлення.

Важливість перегляду наданих дозволів

«Відсутність детальних налаштувань OAuth та неясні формулювання запитів від Microsoft є небезпечним поєднанням, яке ставить під загрозу як особисті, так і корпоративні дані,» зазначає Oasis.

У зв’язку з цим, користувачам та адміністраторам підприємств слід переглянути всі дозволи на доступ сторонніх осіб, які вони надавали раніше, — процес, детально описаний у чек-листі від Oasis. Дослідники вже повідомили про вразливість Microsoft та відповідним постачальникам сторонніх сервісів, і в Redmond обіцяють провести вдосконалення цього сервісу у майбутньому.