Bug grave su OneDrive, una vulnerabilità espone i dati degli utenti a rischi di sicurezza

È stata rilevata una grave vulnerabilità nel sistema di selezione file di OneDrive che mette a rischio la sicurezza di milioni di utenti in tutto il mondo. Il problema, scoperto dai ricercatori di Oasis Security, riguarda il meccanismo attraverso cui le applicazioni web richiedono l'accesso ai file archiviati nel servizio cloud di Microsoft. Contrariamente a quanto ci si aspetterebbe da un selettore di singoli file, il sistema concede alle applicazioni esterne l'accesso completo in lettura a tutti i contenuti presenti nell'account OneDrive dell'utente.

La portata del problema è significativa e coinvolge alcune delle piattaforme più utilizzate al mondo. Tra le applicazioni interessate figurano ChatGPT di OpenAI, Slack, Trello, ClickUp e centinaia di altri servizi che implementano il File Picker di OneDrive per semplificare il caricamento dei documenti. Gli utenti che hanno utilizzato queste funzionalità potrebbero aver inconsapevolmente concesso alle app l'accesso a tutti i loro file personali e aziendali, ben oltre quello che era necessario per la specifica operazione richiesta.

OneDrive, un bug nel file picker mette a rischio la sicurezza dei dati dell'account

Il difetto ha origine nell'implementazione degli ambiti OAuth utilizzati da OneDrive. Microsoft non ha previsto ambiti granulari che permettano alle applicazioni di richiedere l'accesso esclusivamente ai file selezionati dall'utente e, secondo quanto riportato da Oasis Security, il File Picker richiede in ogni caso l'accesso in lettura all'intera unità, anche quando l'operazione riguarda un singolo documento. La situazione è aggravata dal linguaggio vago e poco chiaro utilizzato nei prompt di consenso mostrati agli utenti, secondo la società di sicurezza: Microsoft non comunica chiaramente la reale portata delle autorizzazioni concesse, lasciando gli utenti nell'impossibilità di distinguere tra richieste legittime e potenziali tentativi di esfiltrazione dei dati. Senza ambiti OAuth specifici, anche le applicazioni con intenzioni legittime sono costrette a richiedere permessi eccessivi.

La versione 8.0 del File Picker presenta ulteriori criticità legate all'archiviazione dei token di sicurezza: gli sviluppatori devono gestire autonomamente l'autenticazione utilizzando Microsoft Authentication Library (MSAL), che memorizza i token sensibili nell'archivio delle sessioni del browser in formato di testo semplice. Il flusso di autorizzazione può inoltre estendere l'accesso per periodi indefiniti attraverso i token di aggiornamento, amplificando i potenziali rischi di sicurezza. Le conseguenze di questa vulnerabilità possono essere gravi per le organizzazioni aziendali, con potenziali violazioni della conformità normativa e fughe di dati sensibili che potrebbero compromettere informazioni riservate dei clienti. I singoli utenti, dal canto loro, potrebbero vedere esposti documenti personali, foto e altri contenuti privati senza esserne consapevoli.

Oasis Security raccomanda agli utenti di verificare immediatamente tutte le autorizzazioni di accesso precedentemente concesse alle applicazioni di terze parti. Per gli account personali, è possibile accedere alle impostazioni di privacy del proprio account Microsoft e rivedere l'elenco delle applicazioni autorizzate. Gli amministratori aziendali possono utilizzare l'interfaccia di amministrazione di Entra per controllare le autorizzazioni delegate a livello organizzativo. Microsoft ha confermato di aver ricevuto la segnalazione della vulnerabilità e sta valutando miglioramenti futuri al servizio. Tuttavia, al momento non sono disponibili tempistiche specifiche per la risoluzione del problema.