Сегодня 10 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Миллионы людей открыли сотням веб-приложений полный доступ к своим файлам в Microsoft OneDrive

Миллионы пользователей OneDrive, которые работают с файлами через сторонние веб-приложения, могут неосознанно предоставлять этим приложениям доступ ко всему своему облачному хранилищу. Проблему обнаружили эксперты компании Oasis Security, пишет Dark Reading.

 Источник изображения: appshunter / unsplash.com

Источник изображения: appshunter / unsplash.com

Корни проблемы лежат в разрешениях механизма OAuth OneDrive File Picker, из-за которых сторонним приложениям открывается доступ сразу ко всему содержимому учётной записи OneDrive, а не только к одному файлу. В качестве примеров таких приложений приводятся Slack, Trello и ChatGPT. Чтобы ослабить угрозу, пользователям рекомендуется либо полностью закрыть доступ непроверенным приложениям к OneDrive, либо убедиться, что в облаке не хранится никакой конфиденциальной информации. «В официальной реализации OneDrive File Picker запрашивает доступ ко всему диску, даже при загрузке только одного файла, из-за отсутствия в механизме Oauth специализированных областей видимости для OneDrive. Хотя перед завершением загрузки пользователям предлагается предоставить на это согласие, расплывчатый и неясный язык запроса не даёт пояснения об уровне предоставляемого доступа, что оставляет пользователей открытыми перед неожиданными угрозами безопасности», — рассказали в Oasis.

Из-за этой проблемы любая организация, подключившая сторонние приложения к корпоративному хранилищу OneDrive, подвергается риску раскрытия данных. Уязвимость может использоваться злоумышленниками для кражи, изменения и шифрования данных в OneDrive. Проблема усугубляется тем, что последняя версия OneDrive File Picker требует, чтобы разработчики обрабатывали аутентификацию пользователей с помощью инструмента, который предполагает наличие конфиденциальных данных в хранилище браузера — хакерские атаки в таких условиях представляются особенно опасными. С этими токенами злоумышленники могут получить долгосрочный доступ ко всем файлам в учётной записи OneDrive.

Microsoft OneDrive File Picker — инструмент на основе JavaScript, который разработчики могут использовать для проектирования интерфейса своих веб-приложений, — он позволяет выбирать, загружать, сохранять файлы или делиться данными, хранящимися в OneDrive. Уязвимость касается компонента File Picker Oauth, который используется для аутентификации. Другими словами, приложения, использующие OneDrive File Picker, получают доступ не к отдельным файлам, а ко всему хранилищу сразу, и после завершения загрузки отдельного файла этот доступ может за ними сохраняться. От Microsoft комментариев по этому поводу не последовало.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Исследование мира, сражения с ёкаями и демонический хорёк: журналисты показали почти 20 минут геймплея Nioh 3 48 мин.
Утечка раскрыла названия пародий WhatsApp, Uber и других компаний в GTA VI 2 ч.
Минцифры добавит в список доступных во время отключений сайты медиа, банков и аптек, но это не точно 3 ч.
«Эпидемия ещё далека от завершения»: создатели Dead Island 2 похвастались успехами игры и намекнули на Dead Island 3 4 ч.
Microsoft сократит зависимость от OpenAI, расширив сотрудничество с Anthropic 5 ч.
Apple выпустит macOS Tahoe с интерфейсом Liquid Glass 15 сентября 9 ч.
«До сих пор отходим от похмелья»: разработчики Ghost of Yotei с размахом отпраздновали перенос GTA VI 16 ч.
Нейросеть Google Veo 3 научилась создавать вертикальные видео для соцсетей 17 ч.
По мотивам «Повести временных лет» выпустят MMORPG на стыке научной фантастики и фэнтези с «эпической историей» и геймплеем «нового уровня» 19 ч.
Антиспам-сервис Microsoft начал блокировать безопасные ссылки в Teams и Exchange Online, и отправлять письма в карантин 19 ч.
«Великий китайский файрвол» отправили на экспорт — теперь он ограничивает интернет в разных странах 5 мин.
Intel вовлекла клиентов в разработку техпроцесса 14A на ранней стадии — чтобы не повторить ошибки 18A 8 мин.
Intel заявила, что процессоры Arrow Lake Refresh выйдут только в 2026 году — Nova Lake придётся подождать 11 мин.
Представлена Nikon ZR — первая совместная беззеркалка Nikon и RED 2 ч.
Стало известно, сколько оперативной памяти в iPhone 17 и остальных новинках Apple 3 ч.
Запал ИИ-бума не иссяк: TSMC похвалилась ростом выручки на 34 % в августе 3 ч.
Mercedes-Benz EQS с твердотельными аккумуляторами проехал 1205 км без подзарядки — чуть-чуть энергии ещё осталось 3 ч.
Data4 получит от французских АЭС 40 МВт для своих ЦОД 3 ч.
Битва за крышу: Лондонская фондовая биржа разрешила разместить на своём ЦОД радиостанции высокочастотных трейдеров 4 ч.
МТС назвала российские цены на Apple Watch Series 11/SE/Ultra 3 и AirPods Pro 3 4 ч.