OneDrive ставит под угрозу данные миллионов пользователей из-за уязвимости в механизме доступа

Исследователи выявили серьезную проблему в облачном хранилище Microsoft OneDrive: сторонние веб-приложения, получив доступ хотя бы к одному файлу, могли просматривать все содержимое пользовательского аккаунта. Уязвимость кроется в инструменте OneDrive File Picker, который используется для интеграции облака с различными сервисами, включая Slack, Trello и даже ChatGPT.

По данным экспертов из компании Oasis Security, проблема связана с тем, как реализован механизм авторизации через OAuth. При предоставлении доступа через File Picker пользователь может не подозревать, что разрешает приложению не только открыть нужный файл, но и читать все, что хранится в облаке. Более того, в текущей версии нет возможности ограничить доступ к конкретным документам — пользователь вынужден либо разрешить доступ ко всему, либо отказаться от интеграции полностью.

Такая модель доступа угрожает как частным лицам, так и компаниям. Особенно учитывая, что токены авторизации могут сохраняться в браузерах в незашифрованном виде — это делает возможным их кражу и последующий несанкционированный доступ к данным.

Microsoft уже уведомлена о найденной уязвимости, но пока не выпустила исправление. Тем временем специалисты Oasis рекомендуют всем пользователям проверить, какие приложения имеют доступ к их OneDrive, и отозвать лишние разрешения.

С учетом того, что OneDrive встроен в Windows 10 и 11, а сама Windows, по данным StatCounter, установлена на более чем 70% ПК по всему миру, потенциальный масштаб проблемы оценивается в десятки миллионов затронутых пользователей.