Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong OneDrive, dịch vụ lưu trữ đám mây nổi tiếng của Microsoft. Các nhà nghiên cứu cảnh báo rằng tính năng "File Picker" có thể vô tình mở ra quyền truy cập toàn bộ dữ liệu của người dùng cho các ứng dụng và dịch vụ bên ngoài. Điều này xảy ra ngay cả khi người dùng chỉ chia sẻ một tệp duy nhất. Sự việc này đang thu hút sự chú ý của cộng đồng công nghệ và người dùng cần thận trọng khi sử dụng dịch vụ này.
Oasis Security, một công ty bảo mật hàng đầu, đã đưa ra cảnh báo về lỗ hổng an ninh nghiêm trọng liên quan đến OneDrive của Microsoft. Theo phân tích của họ, tính năng File Picker, vốn được phát triển để hỗ trợ người dùng và doanh nghiệp trong việc tải tệp từ tài khoản OneDrive lên các nền tảng khác như ChatGPT, Slack, Trello và ClickUp, lại không đảm bảo giới hạn quyền truy cập. Điều này có nghĩa là quyền truy cập đọc không chỉ áp dụng cho tệp được chọn mà còn cho toàn bộ không gian lưu trữ của người dùng. Sự thiếu sót này có thể tiềm ẩn những rủi ro lớn về bảo mật thông tin.
Hàng triệu người dùng, bao gồm cả cá nhân và doanh nghiệp, có thể không nhận ra rằng hàng trăm ứng dụng đã được cấp quyền truy cập vào tất cả các file của họ trên OneDrive. Tình huống này tiềm ẩn nhiều rủi ro nghiêm trọng như rò rỉ dữ liệu nhạy cảm và vi phạm quyền riêng tư. Ngoài ra, những tổ chức này có thể đối mặt với vấn đề không tuân thủ các quy định về bảo vệ dữ liệu. Sự an toàn thông tin đang bị đặt trong tình trạng báo động và cần được người dùng chú ý hơn bao giờ hết.
Oasis Security đã có những chỉ trích mạnh mẽ nhằm vào Microsoft, đặc biệt về việc sử dụng ngôn ngữ không rõ ràng trong các thông báo yêu cầu quyền truy cập. Người dùng thường không nhận được thông tin chi tiết về phạm vi quyền mà họ đang cấp, điều này khiến cho việc phân biệt giữa yêu cầu hợp pháp và các mối đe dọa đánh cắp dữ liệu trở nên khó khăn. Hơn nữa, các mã token bí mật được sử dụng để cấp quyền truy cập đôi khi không được bảo vệ an toàn, điều này làm tăng thêm nguy cơ tiềm ẩn cho người dùng.
Các chuyên gia đến từ Oasis đã cảnh báo rằng sự thiếu hụt các phạm vi phân quyền chi tiết cùng với thông báo mập mờ từ Microsoft tạo ra một tình huống rất đáng lo ngại. Họ khuyến nghị người dùng và quản trị viên doanh nghiệp hãy ngay lập tức xem xét lại tất cả quyền truy cập mà bên thứ ba đã được cấp cho OneDrive. Oasis đã thông báo về lỗ hổng này cho Microsoft và các nhà cung cấp liên quan, hiện Microsoft đang xem xét các giải pháp cải thiện dịch vụ. Dù vậy, sự thận trọng từ phía người dùng vẫn rất quan trọng trong thời điểm này.
