Milijuni korisnika izloženi zbog ranjivosti u OneDriveu – treće strane mogle pristupiti svim datotekama

· Sanja Ledinek

Milijuni korisnika izloženi zbog ranjivosti u OneDriveu – treće strane mogle pristupiti svim datotekama

Milijuni ljudi diljem svijeta koristili su stotine različitih web-aplikacija koje su imale puni pristup njihovim datotekama na Microsoftovom OneDriveu – i to često bez da su toga bili svjesni. Na problem su upozorili stručnjaci iz tvrtke Oasis Security, a vijest je objavio portal Dark Reading.

Glavni problem leži u dozvolama koje koristi OneDrive File Picker – alat koji aplikacijama trećih strana omogućuje pristup OneDrive sadržaju. Iako bi bilo logično da aplikacije dobiju pristup samo jednoj određenoj datoteci, mehanizam zapravo otvara vrata cijelom korisničkom prostoru na oblaku. Neke od popularnih aplikacija koje koriste ovaj mehanizam su Slack, Trello i ChatGPT. Ako korisnik putem neke od tih aplikacija otvori datoteku s OneDrivea, aplikacija može (i dalje) imati pristup svim ostalim datotekama – bez dodatnog pitanja ili upozorenja.

Kako biste se zaštitili, preporučuje se da onemogućite pristup neprovjerenim aplikacijama ili barem izbjegavate pohranjivanje osjetljivih podataka u oblaku.

“File Picker u svojoj službenoj verziji traži pristup cijelom OneDrive računu, čak i ako se preuzima samo jedna datoteka. Korisnici moraju dati pristanak, ali jezik upozorenja je zbunjujuć i ne otkriva koliki pristup zapravo daju. Zbog toga su korisnici ranjivi na sigurnosne prijetnje”, objasnili su iz Oasisa. Zbog toga bi svaka organizacija – bilo firma ili škola – koja koristi aplikacije trećih strana povezane s OneDriveom mogla nenamjerno izložiti podatke riziku. Napadači bi mogli iskoristiti tu ranjivost za krađu, mijenjanje ili čak šifriranje podataka. Situaciju dodatno pogoršava to što nova verzija File Pickera traži da se autentifikacija vrši putem alata koji koristi podatke iz preglednika – što napade čini još opasnijima.

Napadači, koristeći tzv. “token”, mogu čak i dugoročno zadržati pristup korisničkim datotekama.

File Picker je inače JavaScript alat koji programerima omogućuje da svoje aplikacije povežu s OneDriveom – korisnici mogu birati, spremati, dijeliti ili preuzimati datoteke. No, zbog ranjivosti u OAuth sustavu za autentifikaciju, aplikacije dobivaju više pristupa nego što bi trebale. Microsoft se o ovom problemu zasad nije oglasio.

DRUGE NOVOSTI