Grave falla di sicurezza su OneDrive: rischio di accesso completo ai dati personali

Una seria vulnerabilità è stata individuata nel sistema di condivisione file di OneDrive, sollevando preoccupazioni per la sicurezza di milioni di utenti. Gli esperti di Oasis Security hanno segnalato che il problema principale risiede nell’eccessiva ampiezza dei permessi richiesti dal file picker del servizio cloud di Microsoft. Questa falla di progettazione espone gli utenti a rischi significativi, consentendo alle applicazioni di accedere all’intero archivio cloud, anche quando si seleziona un singolo file per operazioni su piattaforme come ChatGPT, Slack o Trello.

Individuato il problema

Microsoft utilizza un meccanismo di autorizzazione basato su OAuth, che si è rivelato essere al centro del problema. Secondo gli esperti, le schermate di consenso presentate agli utenti sono poco trasparenti e non chiariscono adeguatamente l’estensione dei permessi concessi. Questo approccio si discosta da quello adottato da altri provider di cloud storage, come Google Drive e Dropbox, che offrono opzioni più granulari e sicure per la gestione delle autorizzazioni.

I token di autorizzazione

Un altro aspetto critico è rappresentato dalla gestione dei token di autorizzazione. Questi, spesso conservati in chiaro nei browser, costituiscono un ulteriore punto debole che potrebbe essere sfruttato da malintenzionati. Questo problema non solo mette a rischio i dati personali degli utenti privati, ma può anche avere gravi implicazioni per le aziende, dove l’accesso non autorizzato a dati sensibili potrebbe compromettere la riservatezza aziendale.

Le conseguenze di questa falla

Le conseguenze di questa vulnerabilità sono particolarmente preoccupanti in ambito aziendale. I dipendenti, spesso inconsapevoli della portata dei permessi concessi, potrebbero esporre informazioni riservate durante attività quotidiane come la condivisione di file. Per mitigare questi rischi, gli specialisti di sicurezza consigliano alle organizzazioni di adottare misure come sistemi di accesso condizionato e approvazioni amministrative per le applicazioni che richiedono autorizzazioni estese.

Come ridurre i rischi

Per gli utenti privati, è possibile ridurre il rischio rivedendo e revocando i permessi concessi alle applicazioni attraverso il pannello privacy del proprio account Microsoft. Tuttavia, questa soluzione rappresenta solo una mitigazione temporanea, in attesa che Microsoft introduca miglioramenti strutturali nel suo servizio di cloud storage.

Nonostante abbia riconosciuto l’esistenza del problema, Microsoft ha classificato la questione come non critica, sostenendo che richiede un’azione deliberata da parte dell’utente per essere sfruttata. L’azienda ha dichiarato che prenderà in considerazione miglioramenti nelle future versioni del servizio, senza però fornire tempistiche precise per la risoluzione.