Se pare că și serviciul OneDrive al Microsoft a dat-o în bară, deoarece instrumentul numit File Picker, care a fost conceput inițial pentru a face încărcarea fișierelor rapidă și ușoară, nu este suficient de sigur. Potrivit cercetătorilor în domeniul securității, funcția File Picker permite aplicațiilor terțe, site-urilor web și chiar utilizatorilor externi să acceseze pentru citire spațiul de stocare OneDrive al unui utilizator anume, o problemă majoră. Acest risc critic afectează nu numai utilizatorul obișnuit, ci și utilizatorii de afaceri și companiile, motiv pentru care cercetătorii în domeniul securității recomandă ca toți afectați să revizuiască și să înăsprească permisiunile acordate fișierelor încărcate în OneDrive.
Funcția File Picker este utilizată de mai multe servicii online, inclusiv de popularul asistent AI ChatGPT al OpenAI.
Problema a fost semnalat de personalul Oasis Security, care a efectuat o analiză aprofundată și cuprinzătoare a funcționării File Picker. Pe baza analizei, se pare că această funcție funcționează incorect nu numai pentru ChatGPT, ci și aplicații populare precum Trello, Slack sau chiar ClickUp. Având în vedere că aceste aplicații și servicii sunt utilizate de milioane din întreaga lume, este garantat că o bună parte dintre aceștia au setat permisiile suficient de lejer ca un terț să le poată accesa. Acest lucru reprezintă un risc imens, și este posibil să steie la baza a ami multor scurgeri de informații confidențiale.
Potrivit experților Oasis Security, o altă problemă este că Microsoft nu informează în mod clar utilizatorii despre pericolele setărilor prea laxe: nu li se spune exact ce autoritate are aplicația, câte fișiere acoperă, iar limbajul confuz face dificil de determinat dacă o solicitare din partea unei aplicații aparent legitime este defapt o încercare în scop de breșă.
O altă problemă este că jetoanele de securitate care sunt stocate de sistem după cererile de acces nu sunt sigure. Pentru File Picker 8.0, dezvoltatorii trebuie să utilizeze Microsoft Authentication Library pentru a executa autentificările, Oauth Authorization Flow, dar din păcate, API-ul MSAL stochează aceste token-uri ca text simplu în variabile de sesiune al browserului web pe termen nelimitat, fiind ușor de extras.
Din cauza celor de mai sus, atât utilizatorul obișnuit, cât și datele corporative sunt în pericol, motiv pentru care merită să revizuiți cine și ce a primit acces în ultima perioadă. Experții Oasis au contactat dezvoltatorii Microsoft, precum și dezvoltatorii aplicațiilor și serviciilor terțe, Microsoft reacționând cu promisiunea de a elimina aceste neajunsuri.
