Сегодня 30 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Миллионы людей открыли сотням веб-приложений полный доступ к своим файлам в Microsoft OneDrive

Миллионы пользователей OneDrive, которые работают с файлами через сторонние веб-приложения, могут неосознанно предоставлять этим приложениям доступ ко всему своему облачному хранилищу. Проблему обнаружили эксперты компании Oasis Security, пишет Dark Reading.

 Источник изображения: appshunter / unsplash.com

Источник изображения: appshunter / unsplash.com

Корни проблемы лежат в разрешениях механизма OAuth OneDrive File Picker, из-за которых сторонним приложениям открывается доступ сразу ко всему содержимому учётной записи OneDrive, а не только к одному файлу. В качестве примеров таких приложений приводятся Slack, Trello и ChatGPT. Чтобы ослабить угрозу, пользователям рекомендуется либо полностью закрыть доступ непроверенным приложениям к OneDrive, либо убедиться, что в облаке не хранится никакой конфиденциальной информации. «В официальной реализации OneDrive File Picker запрашивает доступ ко всему диску, даже при загрузке только одного файла, из-за отсутствия в механизме Oauth специализированных областей видимости для OneDrive. Хотя перед завершением загрузки пользователям предлагается предоставить на это согласие, расплывчатый и неясный язык запроса не даёт пояснения об уровне предоставляемого доступа, что оставляет пользователей открытыми перед неожиданными угрозами безопасности», — рассказали в Oasis.

Из-за этой проблемы любая организация, подключившая сторонние приложения к корпоративному хранилищу OneDrive, подвергается риску раскрытия данных. Уязвимость может использоваться злоумышленниками для кражи, изменения и шифрования данных в OneDrive. Проблема усугубляется тем, что последняя версия OneDrive File Picker требует, чтобы разработчики обрабатывали аутентификацию пользователей с помощью инструмента, который предполагает наличие конфиденциальных данных в хранилище браузера — хакерские атаки в таких условиях представляются особенно опасными. С этими токенами злоумышленники могут получить долгосрочный доступ ко всем файлам в учётной записи OneDrive.

Microsoft OneDrive File Picker — инструмент на основе JavaScript, который разработчики могут использовать для проектирования интерфейса своих веб-приложений, — он позволяет выбирать, загружать, сохранять файлы или делиться данными, хранящимися в OneDrive. Уязвимость касается компонента File Picker Oauth, который используется для аутентификации. Другими словами, приложения, использующие OneDrive File Picker, получают доступ не к отдельным файлам, а ко всему хранилищу сразу, и после завершения загрузки отдельного файла этот доступ может за ними сохраняться. От Microsoft комментариев по этому поводу не последовало.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Соавтор Disco Elysium устроит из анонса новой игры событие мирового масштаба — Summer Eternal готовит необычную презентацию Red Rooster 50 мин.
Российский суд оштрафовал Microsoft и Telegram на 3,5 млн рублей каждую, а Apple — на 7 млн 2 ч.
Основатель и глава Spotify внезапно объявил об уходе в отставку 3 ч.
Команды разработчиков Windows воссоединились после шестилетней работы порознь 3 ч.
Nvidia выпустила драйвер с поддержкой Battlefield 6 и обновления FBC: Firebreak 3 ч.
«Пластилиновая» ролевая игра Banquet For Fools отправит исследовать загадочный мир и придумывать заклинания — дата выхода и новый трейлер 3 ч.
Nothing продолжает нейрофикацию — запущен ИИ-генератор мини-приложений по текстовым описаниям 3 ч.
Хардкорная ролевая игра Outward 2 выйдет летом 2026 года 4 ч.
«Ростелеком» запустил «Турбо Облако» с 500 тыс. виртуальными процессорами 4 ч.
Хакеры парализовали крупнейшую пивоварню Японии 5 ч.
Corsair представила беспроводные гарнитуры Void v2 Max Wireless и Void v2 Max Wireless для Xbox за $150 13 мин.
Грядущий флагман Samsung Galaxy S26 Ultra показался на изображениях — изменения в дизайне минимальны 34 мин.
LG выпустила монитор UltraFine evo 6K с Thunderbolt 5 для профессионалов — в 2,5 раза дешевле аналога от Apple 2 ч.
Apple представила наушники Powerbeats Fit за $200 с гибкой конструкцией для спорта и не только 2 ч.
Китайская Zhaoxin представила серверные x86-процессоры KH-50000 — до 96 ядер, 128 линий PCIe 5.0 и 12 каналов DDR5-5200 5 ч.
Samsung готовит SSD вместимостью 512 Тбайт с интерфейсом PCIe 6.0 6 ч.
Бум атомной энергетики из-за ИИ ЦОД в США обойдётся в $350 млрд 6 ч.
Logitech представила беспроводную мышь MX Master 4 с тактильной обратной связью за $120 6 ч.
Китайцы создали самый сильный в мире сверхпроводящий магнит — в 700 000 раз мощнее поля Земли 6 ч.
Gneuton разработала систему преобразования тепла газовых турбин в очищенную воду для дата-центров 7 ч.