Para peneliti di OASIS Security mengungkapkan minggu lalu bahwa cacat dalam file OneDrive Microsoft mengizinkan aplikasi eksternal, seperti Zoom, ChatGPT, Trello, Slack, dan Clickup, akses ke konten pengguna. Para ahli memperingatkan bahwa jutaan pengguna dapat terpengaruh, dengan potensi risiko kebocoran data dan pelanggaran peraturan kepatuhan.
Menurut laporan itu, diterbitkan pada 28 Mei dan berjudul CHATGPT & APLIKASI WEB LAINNYA MUNGKIN MEMILIKI AKSES BACA LENGKAP KE SELURUH ONEDRIVE ANDAaplikasi eksternal dapat mengakses seluruh koleksi dokumen pengguna selama unggahan, daripada terbatas pada file tertentu.
“Masalah ini muncul dari kurangnya ruang lingkup OAuth berbutir halus untuk OneDrive, yang menyebabkan implementasi pemetik file OneDrive resmi untuk meminta akses baca ke seluruh drive-bahkan ketika mengunggah hanya satu file,” kata dokumen tersebut.
Perusahaan cybersecurity menjangkau Microsoft dan vendor aplikasi yang relevan sebelum secara terbuka mengungkapkan kerentanan. Microsoft menanggapi itu akan mempertimbangkan penelitian untuk perbaikan di masa depan.
Tim peneliti juga menjelaskan bahwa ketika pengguna memberikan akses luas, aplikasi yang ditautkan juga dapat memodifikasi penyimpanan cloud dan tetap terhubung untuk jangka waktu yang lama.
OneDrive File Picker's Izin termasuk dukungan untuk unggahan dan unduhan file pihak ketiga, yang memungkinkan situs web eksternal membaca dan menulis seluruh akun OneDrive, yang dianggap oleh OASIS sebagai “kasus izin berlebihan.”
“Ini bukan hanya masalah privasi, ini merupakan kesenjangan keamanan yang potensial yang mempengaruhi jutaan pengguna dan berpotensi mengekspos informasi pribadi dan profesional yang sensitif,” tulis perusahaan cybersecurity di situs webnya. “Ini terjadi karena cara kerja pemetik file OneDrive Microsoft: ia meminta izin luas yang tetap aktif hingga satu jam, atau lebih lama jika token penyegaran digunakan.”
OASIS merekomendasikan agar pengguna meninjau aplikasi mana yang memiliki akses ke akun OneDrive mereka dan mencabut semua izin yang mencurigakan. Tim peneliti juga mendorong penyebaran kesadaran dan berhati -hati ketika mengunggah konten ke situs web yang tidak dikenal.
Beberapa hari yang lalu, aktor jahat mengeksploitasi kerentanan dalam sistem OAuth Google, berhasil mengirim email phishing yang tampak otentik melalui serangan replay DKIM.