OneDrive sarebbe vittima di una falla che permette ai siti web di accedere ai dati contenuti nello spazio di archiviazione degli utenti.

Falla del file picker di OneDrive

Stando ad un nuovo report dei ricercatori di sicurezza, lo spazio di archiviazione di OneDrive sarebbe a rischio di esposizione dei dati degli utenti. Nello specifico, sfruttando il selettore file i siti web potrebbero ottenere accesso all’intero cloud-storage degli utenti anziché ai dei singoli file. Moltissime app richiedono i permessi e fanno uso OneDrive e sono potenzialmente a rischio.

Il team di ricerca di Oasis Security ha scoperto una falla nel selettore file OneDrive di Microsoft che consente ai siti web di accedere all’intero contenuto OneDrive di un utente, anziché solo ai file specifici selezionati per il caricamento tramite il selettore file OneDrive. I ricercatori stimano che centinaia di app siano interessate, tra cui ChatGPT, Slack, Trello e ClickUp, il che significa che milioni di utenti potrebbero aver già concesso a queste app l’accesso al proprio OneDrive. Questa falla potrebbe avere gravi conseguenze, tra cui la fuga di dati dei clienti e la violazione delle normative sulla conformità.

Microsoft è al corrente della situazione e sta valutando di apportare modifiche per rendere più chiara la procedura di accesso al proprio account da parte di applicativi e servizi di terze parti.

Dopo la scoperta, Oasis ha segnalato la falla a Microsoft e ha informato i fornitori che utilizzano OneDrive File Picker del problema. In risposta, Microsoft sta valutando miglioramenti futuri, tra cui un allineamento più preciso tra le funzionalità di OneDrive File Picker e l’accesso richiesto. 

Nel frattempo sono disponibili alcune soluzioni temporanee e consigli utili per evitare di fornire l’accesso completo al proprio spazio di archiviazione.

Se possibile, rimuovi temporaneamente l’opzione per caricare file utilizzando OneDrive tramite OAuth finché Microsoft non fornirà un’alternativa sicura. Nel frattempo, valuta soluzioni alternative più sicure e semplici, come il supporto di link condivisi “di sola visualizzazione” da OneDrive, tenendo presente che questa procedura potrebbe essere meno pratica per gli utenti.

Che ne pensate di questa vicenda? Vi fidate dei sistemi di protezione di Microsoft? Fatecelo sapere nei commenti.

Articolo di Windows Blog Italia