Erreur de Microsoft OneDrive—Vérifiez Maintenant Si Tous Vos Fichiers Ont Été Partagés

Par Zak Doffman,

Contributeur.

Vérifiez vos paramètres maintenant.

Un nouveau rapport de sécurité avertit que des millions d'utilisateurs ont probablement accordé "à ChatGPT et à d'autres applications web un accès complet en lecture à [leur] OneDrive entier" sans s'en rendre compte. Étant donné la facilité avec laquelle cette erreur peut être commise, les utilisateurs sont invités à vérifier immédiatement leurs paramètres.

L'équipe d'Oasis Security estime "que des centaines d'applications sont concernées, y compris ChatGPT, Slack, Trello et ClickUp — ce qui signifie que des millions d'utilisateurs ont peut-être déjà accordé à ces applications l'accès à leur OneDrive. Cette faille pourrait avoir des conséquences graves, y compris la fuite de données clients et la violation des réglementations de conformité."

La faille provient de la façon dont le Sélecteur de fichiers de OneDrive fonctionne. Lorsque les utilisateurs pensent partager un seul fichier, ils partagent par erreur tout. "L'implémentation officielle du Sélecteur de fichiers de OneDrive demande un accès en lecture à l'ensemble du lecteur — même lors du téléchargement d'un seul fichier — en raison de l'absence de portées OAuth granulaires pour OneDrive."

Oasis Security dit avoir informé Microsoft et d'autres du problème, mais il n'y a eu aucun changement et donc la responsabilité incombe aux utilisateurs de vérifier leurs paramètres. "Bien que les utilisateurs soient invités à donner leur consentement avant de terminer un téléchargement, le langage vague et peu clair de l'invite ne communique pas le niveau d'accès accordé."

La plupart des partages de fichiers probables sont accidentels, mais cette faille "rend également impossible pour les utilisateurs de distinguer entre les applications malveillantes qui ciblent tous les fichiers et les applications légitimes qui demandent des permissions excessives simplement parce qu'il n'y a pas d'autre option sécurisée." Et maintenant que la faille a été publiquement mise en lumière, c'est une invitation aux abus.

Si Vous Recevez Ce Message Sur Votre Téléphone, C'est Une Attaque

Les Indices Et Réponses Du Mini Mots Croisés Du NYT Aujourd'hui Pour Jeudi, 29 Mai

Les Tarifs 'Jour De Libération' De Trump Annulés Par Le Tribunal—Les Futures Sur Les Actions Américaines Montent En Flèche

Oasis Security avertit que l'absence de "portée OAuth granulaire" combinée avec l'invite vague présentée aux utilisateurs "est une combinaison dangereuse qui met en danger à la fois les utilisateurs personnels et d'entreprise." L'atténuation est la suivante :

"Connectez-vous à votre compte Microsoft.
Dans le panneau de gauche ou en haut, cliquez sur 'Confidentialité'.
Sous 'Accès aux applications', sélectionnez la liste des applications qui ont accès à votre compte.
Passez en revue la liste des applications, et pour chaque application, cliquez sur 'Détails' pour voir les portées et permissions spécifiques accordées."

Pour les entreprises, l'atténuation est différente :

"Dans le Centre d'administration Entra, naviguez vers la liste des applications d'entreprise.
La liste affichera une colonne ID d'application (ID client) et une colonne ID d'objet (également connu sous le nom d'ID de principal de service).
Pour vérifier les permissions accordées à chaque application, cliquez sur une application, puis cliquez sur le bouton 'Permissions' dans le panneau de gauche. Cela listera toutes les portées accordées et vous pourrez vérifier si elles sont déléguées."

Le rapport complet est ici. "Nous apprécions le partenariat avec Oasis security pour la divulgation responsable de ce problème," m'a dit Microsoft. "Cette technique ne répond pas à nos critères pour un service immédiat car un utilisateur doit donner son consentement à l'application avant qu'aucun accès ne soit autorisé. Nous envisagerons des améliorations à l'expérience dans une future version."

Pendant ce temps, Jamie Boote de Black Duck avertit "beaucoup de gens oublient à quel point les données dans leurs dossiers OneDrive sont souvent vitales — les documents scannés qui finissent dans les dossiers 'Mes Images' ou 'Mes Documents' peuvent détenir la clé de leur identité et profil de crédit. Chaque fois qu'une application demande si vous lui faites confiance, vous lui faites confiance avec vos données les plus précieuses."

Lỗi Microsoft OneDrive—Kiểm Tra Ngay Nếu Tất Cả Tệp Của Bạn Đã Được Chia Sẻ

Bởi Zak Doffman,

Người đóng góp.

Kiểm tra cài đặt của bạn ngay bây giờ.

Một báo cáo an ninh mới cảnh báo rằng hàng triệu người dùng có thể đã cung cấp "ChatGPT và các ứng dụng web khác quyền truy cập đọc đầy đủ vào [toàn bộ] OneDrive" của họ mà không nhận ra. Với mức độ dễ dàng mà lỗi này có thể xảy ra, người dùng được khuyến cáo kiểm tra cài đặt của họ ngay lập tức.

Nhóm tại Oasis Security ước tính "rằng hàng trăm ứng dụng bị ảnh hưởng, bao gồm ChatGPT, Slack, Trello và ClickUp — có nghĩa là hàng triệu người dùng có thể đã cấp cho các ứng dụng này quyền truy cập vào OneDrive của họ. Lỗ hổng này có thể có hậu quả nghiêm trọng, bao gồm rò rỉ dữ liệu khách hàng và vi phạm các quy định tuân thủ."

Lỗ hổng bắt nguồn từ cách thức hoạt động của Trình chọn tệp OneDrive. Khi người dùng nghĩ rằng họ đang chia sẻ một tệp duy nhất, họ đang vô tình chia sẻ mọi thứ. "Triển khai chính thức của Trình chọn tệp OneDrive yêu cầu quyền truy cập đọc vào toàn bộ ổ đĩa — ngay cả khi chỉ tải lên một tệp duy nhất — do thiếu phạm vi OAuth chi tiết cho OneDrive."

Oasis Security cho biết họ đã thông báo cho Microsoft và những người khác về vấn đề này, nhưng không có thay đổi nào và do đó trách nhiệm thuộc về người dùng để kiểm tra cài đặt của họ. "Mặc dù người dùng được nhắc cung cấp sự đồng ý trước khi hoàn tất tải lên, ngôn ngữ mơ hồ và không rõ ràng của lời nhắc không truyền đạt mức độ truy cập được cấp."

Hầu hết việc chia sẻ tệp có thể là vô tình, nhưng lỗ hổng này cũng "khiến người dùng không thể phân biệt giữa các ứng dụng độc hại nhắm mục tiêu tất cả các tệp và các ứng dụng hợp pháp yêu cầu quyền quá mức chỉ vì không có lựa chọn an toàn nào khác." Và bây giờ lỗ hổng đã được làm nổi bật công khai, đó là một lời mời cho sự lạm dụng.

Nếu Bạn Nhận Được Tin Nhắn Này Trên Điện Thoại, Đó Là Một Cuộc Tấn Công

Gợi Ý Và Đáp Án Ô Chữ Mini NYT Hôm Nay Cho Thứ Năm, Ngày 29 Tháng 5

Thuế Quan 'Ngày Giải Phóng' Của Trump Bị Tòa Án Bác Bỏ—Tương Lai Cổ Phiếu Mỹ Tăng Vọt

Oasis Security cảnh báo rằng việc thiếu "phạm vi OAuth chi tiết" kết hợp với lời nhắc mơ hồ được trình bày cho người dùng "là một sự kết hợp nguy hiểm đặt cả người dùng cá nhân và doanh nghiệp vào rủi ro." Biện pháp giảm thiểu như sau:

"Đăng nhập vào Tài khoản Microsoft của bạn.
Trong ngăn bên trái hoặc trên cùng, nhấp vào 'Quyền riêng tư'.
Dưới 'Truy cập ứng dụng', chọn danh sách các ứng dụng có quyền truy cập vào tài khoản của bạn.
Xem lại danh sách các ứng dụng, và đối với mỗi ứng dụng, nhấp vào 'Chi tiết' để xem các phạm vi và quyền cụ thể được cấp."

Đối với doanh nghiệp, biện pháp giảm thiểu khác:

"Trong Trung tâm Quản trị Entra, điều hướng đến danh sách các ứng dụng doanh nghiệp.
Danh sách sẽ hiển thị một cột ID ứng dụng (ID khách hàng) và một cột ID đối tượng (còn được gọi là ID chính dịch vụ).
Để kiểm tra các quyền được cấp cho mỗi ứng dụng, nhấp vào một ứng dụng, sau đó nhấp vào nút 'Quyền' trong ngăn bên trái. Điều này sẽ liệt kê tất cả các phạm vi được cấp và bạn có thể xác minh xem chúng có được ủy quyền hay không."

Báo cáo đầy đủ ở đây. "Chúng tôi đánh giá cao sự hợp tác với Oasis security trong việc tiết lộ có trách nhiệm vấn đề này," Microsoft nói với tôi. "Kỹ thuật này không đáp ứng tiêu chuẩn của chúng tôi để phục vụ ngay lập tức vì người dùng phải cung cấp sự đồng ý cho ứng dụng trước khi bất kỳ quyền truy cập nào được cho phép. Chúng tôi sẽ xem xét cải thiện trải nghiệm trong một bản phát hành trong tương lai."

Trong khi đó, Jamie Boote của Black Duck cảnh báo "nhiều người quên mất dữ liệu trong thư mục OneDrive của họ thường quan trọng như thế nào — các tài liệu được quét kết thúc trong thư mục 'Ảnh của tôi' hoặc 'Tài liệu của tôi' có thể nắm giữ chìa khóa cho danh tính và hồ sơ tín dụng của một người. Bất cứ khi nào một ứng dụng hỏi bạn có tin tưởng nó không, bạn đang tin tưởng nó với dữ liệu quý giá nhất của bạn."

Erreur de Microsoft OneDrive—Vérifiez Maintenant Si Tous Vos Fichiers Ont Été Partagés