1 tệp OneDrive có thể khiến toàn bộ dữ liệu bị "phơi bày"
Người dùng OneDrive đứng trước nguy cơ bị lộ toàn bộ dữ liệu vì một lỗ hổng nghiêm trọng vừa được phát hiện.
Một lỗ hổng bảo mật đáng báo động vừa được phát hiện trong OneDrive, dịch vụ lưu trữ đám mây phổ biến của Microsoft. Theo các nhà nghiên cứu, tính năng "File Picker" tưởng chừng vô hại có thể vô tình cấp toàn quyền đọc toàn bộ dữ liệu OneDrive của người dùng cho các ứng dụng và dịch vụ bên ngoài, ngay cả khi họ chỉ định chia sẻ một tệp duy nhất.
Công ty bảo mật Oasis Security đã lên tiếng cảnh báo về sự "bất cẩn" của Microsoft đối với các ranh giới an ninh trong OneDrive. Phân tích của họ chỉ ra rằng công cụ File Picker, được thiết kế để giúp người dùng và doanh nghiệp dễ dàng tải tệp từ tài khoản OneDrive lên các dịch vụ khác (gồm cả những tên tuổi lớn như ChatGPT, Slack, Trello, ClickUp), lại không giới hạn quyền truy cập vào tệp được chọn. Thay vào đó, nó cấp quyền truy cập đọc trên toàn bộ không gian lưu trữ.
OneDrive gặp lỗ hổng nghiêm trọng khiến dữ liệu bị phơi bày.
Điều này có nghĩa là hàng triệu người dùng cá nhân và doanh nghiệp có thể đã vô tình cho phép hàng trăm ứng dụng "nhìn thấy" tất cả các tệp tin của mình trên OneDrive. Hậu quả tiềm tàng là vô cùng nghiêm trọng, từ rò rỉ dữ liệu nhạy cảm, vi phạm quyền riêng tư đến việc các tổ chức không tuân thủ các quy định về bảo vệ dữ liệu.
Oasis Security cũng mạnh mẽ chỉ trích Microsoft vì sử dụng ngôn ngữ "mơ hồ và gây hiểu lầm" trong các thông báo yêu cầu quyền truy cập. Người dùng thường không được thông báo rõ ràng về phạm vi quyền mà họ đang cấp, khiến họ khó lòng phân biệt giữa yêu cầu hợp pháp và những nỗ lực đánh cắp dữ liệu tinh vi. Thêm vào đó, các mã token bí mật dùng để cấp quyền truy cập đôi khi được lưu trữ không an toàn, làm tăng thêm rủi ro.
Các chuyên gia từ Oasis nhấn mạnh rằng sự kết hợp giữa việc thiếu các phạm vi phân quyền chi tiết (OAuth scopes) và thông báo không rõ ràng từ Microsoft tạo ra một "sự kết hợp nguy hiểm". Họ khuyến cáo tất cả người dùng và quản trị viên doanh nghiệp nên ngay lập tức kiểm tra lại toàn bộ các quyền truy cập của bên thứ ba đã cấp cho OneDrive. Oasis đã báo cáo lỗ hổng này cho Microsoft và các nhà cung cấp bị ảnh hưởng, và Microsoft được cho là đang xem xét các cải tiến cho dịch vụ. Tuy nhiên, sự cẩn trọng từ phía người dùng vẫn là điều cần thiết nhất lúc này.
Bình luận
