Сегодня 16 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Миллионы людей открыли сотням веб-приложений полный доступ к своим файлам в Microsoft OneDrive

Миллионы пользователей OneDrive, которые работают с файлами через сторонние веб-приложения, могут неосознанно предоставлять этим приложениям доступ ко всему своему облачному хранилищу. Проблему обнаружили эксперты компании Oasis Security, пишет Dark Reading.

 Источник изображения: appshunter / unsplash.com

Источник изображения: appshunter / unsplash.com

Корни проблемы лежат в разрешениях механизма OAuth OneDrive File Picker, из-за которых сторонним приложениям открывается доступ сразу ко всему содержимому учётной записи OneDrive, а не только к одному файлу. В качестве примеров таких приложений приводятся Slack, Trello и ChatGPT. Чтобы ослабить угрозу, пользователям рекомендуется либо полностью закрыть доступ непроверенным приложениям к OneDrive, либо убедиться, что в облаке не хранится никакой конфиденциальной информации. «В официальной реализации OneDrive File Picker запрашивает доступ ко всему диску, даже при загрузке только одного файла, из-за отсутствия в механизме Oauth специализированных областей видимости для OneDrive. Хотя перед завершением загрузки пользователям предлагается предоставить на это согласие, расплывчатый и неясный язык запроса не даёт пояснения об уровне предоставляемого доступа, что оставляет пользователей открытыми перед неожиданными угрозами безопасности», — рассказали в Oasis.

Из-за этой проблемы любая организация, подключившая сторонние приложения к корпоративному хранилищу OneDrive, подвергается риску раскрытия данных. Уязвимость может использоваться злоумышленниками для кражи, изменения и шифрования данных в OneDrive. Проблема усугубляется тем, что последняя версия OneDrive File Picker требует, чтобы разработчики обрабатывали аутентификацию пользователей с помощью инструмента, который предполагает наличие конфиденциальных данных в хранилище браузера — хакерские атаки в таких условиях представляются особенно опасными. С этими токенами злоумышленники могут получить долгосрочный доступ ко всем файлам в учётной записи OneDrive.

Microsoft OneDrive File Picker — инструмент на основе JavaScript, который разработчики могут использовать для проектирования интерфейса своих веб-приложений, — он позволяет выбирать, загружать, сохранять файлы или делиться данными, хранящимися в OneDrive. Уязвимость касается компонента File Picker Oauth, который используется для аутентификации. Другими словами, приложения, использующие OneDrive File Picker, получают доступ не к отдельным файлам, а ко всему хранилищу сразу, и после завершения загрузки отдельного файла этот доступ может за ними сохраняться. От Microsoft комментариев по этому поводу не последовало.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
«Игра сломана сильнее, чем мои ожидания»: долгожданная Neverwinter Nights 2: Enhanced Edition разочаровала пользователей Steam 20 мин.
Аналог VMware Tanzu, мониторинг, управление инсталляциями: в zVirt 4.4 появились модули для комплексного управления ИТ-инфраструктурой 2 ч.
Valve удалила олдскульную гоночную аркаду Old School Rally из Steam за нарушение авторских прав: что ждёт игру дальше 2 ч.
В Китае запустили систему обезличенной аутентификации пользователей в интернете, которая таковой не является 2 ч.
Microsoft расширила возможности Copilot Vision — теперь ИИ видит всё, что показано на экране 3 ч.
Сегодня российские пользователи столкнулись со сбоем Steam 3 ч.
Облачный стриминг Microsoft добрался до приложения Xbox на ПК — поиграть можно даже в консольные эксклюзивы 3 ч.
«Просто омерзительно»: Microsoft заменит уволенных разработчиков Candy Crush ИИ-инструментами, которые те помогли создать 5 ч.
В Meta починили уязвимость, позволявшую читать чужие ИИ-диалоги 6 ч.
OpenAI упростила создание изображений: в ChatGPT появились готовые «крутые» стили 10 ч.
Восстановление поставок ИИ-ускорителей Nvidia H20 в Китай займёт до девяти месяцев 42 мин.
Тарифы Трампа навредили ASML не так сильно, как ожидалось — но то ли ещё будет 43 мин.
Гравитационно-волновые детекторы засекли самое масштабное столкновение чёрных дыр в истории наблюдений 46 мин.
Starlink начнёт запускать спутники третьего поколения на Starship в 2026 году — они обеспечат скорость выше 1 Тбит/с 50 мин.
AMD сообщила о грядущем возобновлении поставок MI308 в Китай 2 ч.
Пенсильвания получит более $90 млрд инвестиций на развитие ИИ, ЦОД и энергетики 2 ч.
Пока Tesla пытается наладить выпуск роботов Optimus, китайские конкуренты захватили внимание всего мира 3 ч.
HMD представила кнопочные телефоны с поддержкой DeepSeek 3 ч.
Broadcom представила 51,2-Тбит/с чип-коммутатор Tomahawk Ultra — альтернативу NVIDIA InfiniBand и NVLink 3 ч.
Белорусский «Горизонт» начнёт выпускать «ТВ Станции» для «Яндекса» в Минске 3 ч.