Brutte notizie per chi usa OneDrive, il servizio cloud di Microsoft. Un gruppo di ricercatori ha scoperto un bug particolarmente grave. Il problema coinvolge in particolare gli utenti che hanno collegato OneDrive ad applicazioni esterne come ChatGPT, Slack o altre piattaforme che sfruttano l’accesso tramite API. Microsoft, da parte sua, sembra decisa a non fare assolutamente nulla per proteggere i suoi utenti.
Grave bug in OneDrive, file privati possono essere letti da estranei
Questa vulnerabilità è piuttosto preoccupanti. Giornalisti e personaggi pubblici potrebbero trovarsi in guai seri. La falla permette a soggetti esterni, senza alcuna autorizzazione, di scaricare file conservati su OneDrive. Non si parla solo di documenti condivisi pubblicamente, ma anche di file privati e sensibili, che l’utente non ha mai condiviso esplicitamente. Ma per il momento ci si deve accontentare… o fuggire altrove.
Il problema nasce dal sistema di token OAuth, responsabile della gestione delle autorizzazioni di accesso e delle Web App collegate a OneDrive degli utenti. Il modulo delle autorizzazioni non ha la granularità dei servizi concorrenti come DropBox e Google Drive. Non appena il modulo “File Picker” di OneDrive viene utilizzato da questi servizi per caricare un singolo file, richiede l’accesso in lettura all’intera unità. Questo perché a OAuth non è stata data la possibilità di limitare ulteriormente questa autorizzazione.
La cosa peggiore è che questo accesso, che aggira completamente la sicurezza di OneDrive, rimane persistente in molti casi. I token di accesso OAuth, infatti, hanno una durata di vita piuttosto lunga, quindi se gli hacker cercano di sottrarre tutti i file sul cloud di un obiettivo, possono farlo con una discrezione formidabile, senza attaccare direttamente OneDrive.
Possono invece introdursi in un servizio collegato all’account. Questo può essere fatto in diversi modi relativamente semplici e poco costosi. Da lì, possono consultare ed esfiltrare tutto, con la stessa calma della reazione di Microsoft, che scoprirete di seguito.
Microsoft incrocia le braccia…
E Microsoft?… sta a guardare, nonostante la gravità del problema. Ecco, come ha risposto agli autori della scoperta: “Microsoft ha preso nota del rapporto e può prendere in considerazione miglioramenti in futuro“. Deludente. Insomma, ha minimizzato il rischio.
Cosa fare, dunque, per tornare a standard di sicurezza accettabili per i propri file nel cloud? Ovviamente, possiamo solo consigliare di scollegare tutte le Web App collegate a OneDrive tramite le pagine di configurazione. Al di là di questo, una tale inerzia di fronte a un problema estremamente grave sembra inaccettabile. Un motivo in più per trasferire tutti i propri dati su un concorrente che offra un po’ più di sicurezza.
Ti potrebbe interessare
29 mag 2025