Облако Microsoft OneDrive открывает доступ ко всем пользовательским файлам всякому, у кого есть доступ хотя бы к одному
Миллионы пользователей OneDrive, в том числе россияне, могли предоставить полный доступ на чтение к содержимому персонального или корпоративного облачного хранилища сотням сторонних веб-сервисов, сами того не подозревая. Это грозит утечками огромных объемов данных, вина за которые будет частично лежать и на разработчиках из Microsoft.Опасный изъян OneDrive
Сотни популярных веб-приложений могут иметь доступ ко всем файлам огромного числа пользователей облачного хранилища Microsoft OneDrive, интегрированного с операционной системой Windows 11. К такому выводу пришла команда исследователей из ИБ-компании Oasis Security.
Согласно выводам специалистов, корнем проблемы являются особенности реализации инструмента OneDrive File Picker («Средство выбора файлов OneDrive»), а точнее недостатки заложенного в него механизма авторизации по протоколу OAuth.
Изъяны File Picker подвергают рискам ИБ как индивидуальных пользователей ПК, так и бизнес. В связи с этим эксперты Oasis рекомендуют всем пользователям OneDrive провести тщательную проверку ранее выданных разрешений.
Oasis также сообщила Microsoft о результатах исследования File Picker. В ответ американская корпорация пообещала рассмотреть возможность внесения изменений в File Picker, которые сделают инструмент более безопасным.
Суть проблемы
File Picker – это инструмент на основе JavaScript, позволяющий разработчикам создавать интерфейсы для взаимодействия веб-приложений с хранилищем OneDrive. К, примеру, с помощью такого интерфейса мессенджер Slack или система управления проектами Trello позволяют пользователю прикрепить к сообщению или проекту файл из OneDrive. Это быстрее и удобнее, чем сначала загружать файл из OneDrive на компьютер, а затем уже с локального накопителя «скармливать» его веб-приложению.
В данном сценарии Slack или Trello потребуется разрешение на доступ к файловому хранилищу OneDrive со стороны пользователя, которое и будет запрошено File Picker – авторизация осуществляется через OAuth. Однако подтверждая свое согласие, пользователь может до конца не осознавать того, что в действительности он предоставляет доступ веб-приложению не к одному конкретному файлу, а ко всему содержимому его хранилища OneDrive целиком.
В Oasis отмечают, что наличие у веб-приложений, в том числе и легитимных, такого уровня доступа к накопителям OneDrive представляет серьезную угрозу для хозяина файлов. Ситуация может обернуться массовой утечкой данных и нарушением требований регуляторов в сфере кибербезопасности.
Опасность размытых формулировок
По оценке Oasis, сотни веб-приложений могут иметь неограниченный доступ на чтение к огромному количеству облачных накопителей. В их числе, помимо уже упомянутых Slack и Trello, популярнейший чат-бот на базе большой языковой модели – ChatGPT, таск-менеджер ClickUp и прочие. Эксперты считают, что с определенной вероятностью миллионы пользователей предоставили широкий доступ к своим дискам OneDrive. Среди них как частные, так и корпоративные пользователи.
В Oasis считают, что формулировки, использованные Microsoft в тексте запроса о предоставлении доступа к файлам OneDrive через File Picker, являются размытыми и не способны четко и однозначно донести до пользователя информацию о том, какой конкретно уровень привилегий получит веб-приложение в случае его согласия.
Проблему также представляет отсутствие у пользователя реального выбора при предоставлении доступа через механизм File Picker: необходимо либо разрешить обращение ко всем данным на облачном диске, либо отказать в доступе совсем. Предоставление разрешение доступа к конкретным файлам – гораздо более безопасная опция, которая не была реализована Microsoft.
Помимо чрезмерного уровня привилегий, запрашиваемого File Picker, эксперты Oasis видят угрозу в том, что на практике секреты, используемые для доступа к OneDrive, часто хранятся в незащищенном формате.
Так, при использовании последней версии OneDrive File Picker (8.0) процедуру аутентификации разработчикам веб-приложений и сайтов приходится реализовывать собственноручно. Для этого, как правило, применяется библиотека аутентификации Microsoft (MSAL), которая сохраняет токены аутентификации в браузерной сессии, причем в незашифрованном виде.
Популярность OneDrive
По данным StatCounter, среди всех десктопных операционных систем на долю Windows по состоянию на май 2025 г. приходилось более 70%. При этом в разрезе версий операционных систем Microsoft на рынке доминируют Windows 10 (53,2%) и Windows 11 (43,23%) с суммарной долей в 96,43%.
Клиент облачного сервиса OneDrive предустановлен и активен по умолчанию в Windows 10 и 11. Несмотря на то, что пользуются им далеко не все пользователи этих ОС, с высокой степенью уверенности можно сказать, что количество хранящих свои файлы в OneDrive исчисляется миллионами. Кроме того, Microsoft предпринимает меры, направленные на популяризацию сервиса. Так, в июне 2024 г. CNews писал, что корпорация сделала обязательным резервное копирование в OneDrive ряда пользовательских данных. Нововведение заработало без предупреждения, и разрешения Microsoft ни у кого не спрашивает.
По данным интернет-провайдера «Дом.ру», популярность OneDrive среди его абонентов в 2024 г. упала к 2023 г. на 9 процентных пунктов – с 38% до 29%. На 4 п.п. выросла доля пользователей «Google Диска» (51%), на 5 п.п. – «Облака Mail.ru». По 2 п.п. потеряли «Яндекс Диск» (68%) и Dropbox (3%).