MISTER X
Эксперт
Команда форума
Судья
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Координатор арбитражей
Исследователи выявили серьезную проблему в облачном хранилище Microsoft OneDrive: сторонние веб-приложения, получив доступ хотя бы к одному файлу, могли просматривать все содержимое пользовательского аккаунта. Уязвимость кроется в инструменте OneDrive File Picker, который используется для интеграции облака с различными сервисами, включая Slack, Trello и даже ChatGPT.
По данным экспертов из компании Oasis Security, проблема связана с тем, как реализован механизм авторизации через OAuth. При предоставлении доступа через File Picker пользователь может не подозревать, что разрешает приложению не только открыть нужный файл, но и читать все, что хранится в облаке. Более того, в текущей версии нет возможности ограничить доступ к конкретным документам — пользователь вынужден либо разрешить доступ ко всему, либо отказаться от интеграции полностью.
Такая модель доступа угрожает как частным лицам, так и компаниям. Особенно учитывая, что токены авторизации могут сохраняться в браузерах в незашифрованном виде — это делает возможным их кражу и последующий несанкционированный доступ к данным.
Microsoft уже уведомлена о найденной уязвимости, но пока не выпустила исправление. Тем временем специалисты Oasis рекомендуют всем пользователям проверить, какие приложения имеют доступ к их OneDrive, и отозвать лишние разрешения.
С учетом того, что OneDrive встроен в Windows 10 и 11, а сама Windows, по данным StatCounter, установлена на более чем 70% ПК по всему миру, потенциальный масштаб проблемы оценивается в десятки миллионов затронутых пользователей.
