Il File Picker di OneDrive, utilizzato da milioni di utenti per caricare documenti su piattaforme esterne come Slack, Trello, ClickUp e perfino ChatGPT, è finito al centro di una seria segnalazione. Secondo quanto denunciato da Oasis, lo strumento non limita l’accesso al solo file selezionato, ma permette all’applicazione esterna di leggere l’intero contenuto dell’account OneDrive. Un accesso teoricamente “in sola lettura”, ma che nella pratica si traduce in una vulnerabilità potenzialmente critica per privati e aziende.
Il meccanismo di autorizzazione si basa sul sistema OAuth, ma l’implementazione presenta debolezze significative. I token di accesso sono spesso archiviati in chiaro nel browser e possono essere rinnovati automaticamente tramite token di aggiornamento, consentendo a servizi esterni di mantenere l’accesso ben oltre il momento della concessione iniziale. Il risultato è che chiunque ottenga quei token potrebbe esplorare l’intera struttura di file, documenti sensibili compresi.
Prompt fuorvianti e scarsa consapevolezza dell’utente
Un ulteriore elemento critico segnalato da Oasis riguarda il linguaggio utilizzato nei prompt di autorizzazione. Le richieste presentate all’utente appaiono generiche, poco chiare e non evidenziano che si sta concedendo accesso completo all’account OneDrive, e non solo al documento in questione. Questo inganno involontario espone gli utenti a rischi che spesso non vengono compresi fino a quando è troppo tardi.
L’invito rivolto a chi utilizza OneDrive è di verificare immediatamente le autorizzazioni concesse a servizi terzi, attenendosi alle linee guida pubblicate da Oasis. Per le aziende, il consiglio è di adottare una politica più restrittiva sui permessi, evitando concessioni permanenti non necessarie.
Microsoft è stata avvisata, ma il problema persiste
Secondo quanto riportato da Techspot, Microsoft era già stata informata da tempo della falla. L’azienda sarebbe ora al lavoro per trovare un equilibrio tra sicurezza e funzionalità, cercando una soluzione che non penalizzi l’esperienza d’uso del File Picker, ma che eviti esposizioni eccessive dell’account.
Questa segnalazione riapre il dibattito sulla responsabilità dei provider cloud nella gestione dei dati e sull’importanza di messaggi chiari e autorizzazioni realmente granulari quando si tratta di proteggere documenti personali e aziendali.
