Prisijunkite
„Microsoft“ labai neatsargiai elgiasi su „OneDrive“ saugumu. Neseniai atliktas „Oasis Security“ tyrimas atskleidė, kad „OneDrive“ failų pasirinkimo įrankis gali suteikti svetainėms, programėlėms ir išorės vartotojams visišką tik skaitymo teisę prie visų paslaugoje saugomų turinio.
Šis akivaizdus trūkumas kelia pavojų tiek individualiems naudotojams, tiek įmonėms, todėl „Oasis“ rekomenduoja atlikti išsamų visų anksčiau suteiktų leidimų auditą.
„File Picker“ suteikia įmonėms ir naudotojams galimybę greitai ir lengvai įkelti failus iš savo „OneDrive“ paskyrų. Daugelis internetinių paslaugų, įskaitant „OpenAI“, „ChatGPT“, naudoja šią funkciją. Tačiau, užuot apribojusi prieigą prie konkretaus failo, ši priemonė suteikia išorinėms paslaugoms visapusišką prieigą prie visos saugyklos erdvės.
„Oasis“ skaičiuoja, kad ši problema paveikė šimtus programėlių, įskaitant „ChatGPT“, „Slack“, „Trello“, „ClickUp“ ir kitas. Dėl to milijonai naudotojų greičiausiai suteikė šioms paslaugoms neribotą prieigą prie savo „OneDrive“ failų. Šis pažeidžiamumas gali lemti duomenų nutekėjimą ir privatumo pažeidimus, o organizacijos rizikuoja pažeisti teisės aktų reikalavimus.
„Oasis“ taip pat kritikavo „Microsoft“ už neaiškią ir klaidinančią kalbą, kuria naudotojai raginami pradėti failų įkėlimą. Ji teigia, kad „Microsoft“ neatskleidžia visos per „File Picker“ suteiktos prieigos apimties, todėl klientai negali atskirti teisėtų prašymų nuo potencialiai kenkėjiškų bandymų išgauti duomenis.
„Oasis“ taip pat įspėja, kad slapti žetonai, naudojami prieigos prašymams suteikti, dažnai yra saugomi nesaugiai pagal numatytuosius nustatymus. „File Picker“ 8.0 versijoje kūrėjai privalo įgyvendinti autentifikavimą naudodami „Microsoft“ autentifikavimo biblioteką (MSAL) su OAuth autorizacijos srautu. Tačiau MSAL API saugo žetonus naršyklės sesijos saugykloje paprastu tekstu, o autorizacijos srautas gali pratęsti prieigą neribotam laikui per atnaujinimo žetoną.
„Tikslių OAuth apimčių trūkumas kartu su neaiškiu „Microsoft“ naudotojo prašymu yra pavojinga kombinacija, kuri kelia pavojų tiek asmeniniams, tiek verslo naudotojams“, – teigia „Oasis“.
Todėl individualūs naudotojai ir įmonių administratoriai turėtų peržiūrėti visus anksčiau suteiktus trečiųjų šalių prieigos leidimus – šį procesą „Oasis“ aprašo išsamiame sąraše. Tyrėjai jau pranešė apie šią spragą „Microsoft“ ir susijusiems trečiųjų šalių tiekėjams, o „Microsoft“ esą svarsto galimybę ateityje patobulinti šią paslaugą.
0 komentarų
Komentuoti ir diskutuoti gali tik registruoti portalo lankytojai. Kviečiame prisijungti prie mūsų bendruomenės ir prisijungti prie diskusijų!
Prašome prisijungti