Skip to content

onedrive

C’è un buco nel cloud OneDrive di Microsoft?

Secondo alcuni esperti uno dei servizi di cloud storage più popolari sul mercato, OneDrive di Microsoft, lascerebbe la porta socchiusa ai malintenzionati, con il rischio di fughe di dati, lesione del diritto alla privacy e violazione delle normative di riferimento

Problemi in vista per OneDrive, il servizio di cloud storage che Microsoft offre ai propri utenti. Secondo una indagine portata avanti dai ricercatori di Oasis Security la funzione File Picker fornirebbe incautamente un accesso molto generoso a siti, app e servizi di terze parti.

LA PRESUNTA VULNERABILITA’ DI ONEDRIVE

Secondo gli analisti che hanno mosso tale critica a Microsoft il File Picker, strumento volto a semplificare il caricamento di documenti da OneDrive a piattaforme esterne, non limita l’accesso al singolo file selezionato spalancando all’applicazione esterna con la quale entra in contatto la possibilità di leggere l’intero contenuto dell’account dell’utente. Si tratta, è bene specificarlo, di un accesso “read-only” ovvero di sola lettura dei contenuti, ma potenzialmente illimitato, che per Oasis Security costituirebbe una potenziale backdoor nel sistema di sicurezza per individui e aziende.

LE PORTE SOCCHIUSE PER NON CURANZA O POCA DIMESTICHEZZA

Anche perché secondo i ricercatori il protocollo di autorizzazione protocollo di autorizzazione OAuth utilizzato da Microsoft lascerebbe ampio margine di manovra a eventuali hacker dal momento che, complici la disattenzione o la poca dimestichezza degli utenti, i token cui ci si affida per l’accesso vengono spesso archiviati in chiaro nella sessione del browser e, in alcuni casi, possono essere rinnovati automaticamente con un token di aggiornamento, prolungando l’accesso ben oltre quello previsto.

Tutte tracce lasciate in giro e porte socchiuse che, inutile dirlo, fanno felicissimi gli internauti che s’aggirano per il Web alla ricerca di dati coi quali imbastire le proprie truffe, a iniziare dal phishing. Le conseguenze di questi comportamenti fin troppo leggeri unite al modo assai curioso in cui è stato costruito File Picker potrebbe comportare la fuga di dati, una lesione del diritto alla privacy e, a cascata, una violazione delle normative di riferimento.

COSA DEVONO FARE GLI UTENTI

Secondo quanto scrivono sul sito Techspot Redmond sarebbe stata avvertita della vulnerabilità da tempo e starebbe studiando le contromisure per chiudere quell’accesso tanto grossolano oggi garantito dal File Picker, stando comunque attenta a non comprometterne le caratteristiche che lo rendono funzionale e versatile. Nel frattempo viene consigliato agli utenti (che possono essere singoli privati come pure intere aziende) di rivedere immediatamente tutte le autorizzazioni concesse alle terze parti, seguendo le linee guida pubblicate da Oasis.

Torna su