Miljoenen gebruikers van Microsoft OneDrive lopen mogelijk onbewust risico op datalekken doordat ze via derde partijen bestanden uploaden of openen. Onderzoek van Oasis Security toont aan dat honderden webapps zoals Slack, Trello en zelfs ChatGPT, volledige toegang kunnen krijgen tot iemands complete OneDrive-account, in plaats van slechts tot een specifiek geselecteerd bestand.
OneDrive-bestanden
De kern van het probleem zit in de manier waarop Microsoft’s OneDrive File Picker werkt. Deze tool maakt gebruik van OAuth-machtigingen, een methode om toestemming te verlenen aan apps. Maar in plaats van gerichte, fijnmazige toegangsrechten aan te bieden, vraagt File Picker standaard toegang tot de volledige OneDrive. Gebruikers krijgen wel een toestemmingsscherm te zien, maar de omschrijving daarin is volgens Oasis “vaag en misleidend”. Hierdoor realiseren veel gebruikers zich niet dat ze hun hele cloudopslag beschikbaar stellen aan de app.
Deze zogeheten ‘all-or-nothing’-toegang is niet alleen een risico voor individuele gebruikers, maar ook voor organisaties die met externe apps werken. Kwaadwillenden zouden op deze manier gegevens kunnen stelen, aanpassen of zelfs versleutelen. Bovendien kunnen de tokens die gebruikt worden om toegang te behouden, onveilig in de browser worden opgeslagen, waardoor hackers ze kunnen onderscheppen en langdurige toegang tot OneDrive-bestanden kunnen verkrijgen.
Extra kwetsbaarheden
De nieuwste versie van File Picker vereist dat ontwikkelaars gebruikersauthenticatie via een JavaScript-tool afhandelen. Een werkwijze die volgens experts extra kwetsbaarheden introduceert.
Volgens Jamie Boote, beveiligingsconsultant bij Black Duck, zorgt het ontbreken van gedetailleerde toegangscontrole ervoor dat gevoelige of vertrouwelijke bestanden per ongeluk toegankelijk worden gemaakt. Bedrijven doen er daarom verstandig aan om óf het gebruik van niet-gecontroleerde apps volledig te blokkeren, óf streng te reguleren welke informatie in OneDrive wordt opgeslagen.
Concrete maatregelen
Microsoft heeft vooralsnog niet gereageerd op het rapport van Oasis, maar volgens het beveiligingsbedrijf is de techgigant wel op de hoogte van de problemen. Mogelijke verbeteringen worden overwogen, maar concrete maatregelen zijn nog niet aangekondigd.
Tot die tijd geldt: wees terughoudend met het koppelen van apps aan je OneDrive en controleer zorgvuldig welke rechten je verleent.