Uma vulnerabilidade no OneDrive permite que aplicativos de terceiros acessem todos os arquivos de um usuário, mesmo quando apenas um documento é autorizado. A Microsoft ainda não lançou uma correçã...
Uma vulnerabilidade no OneDrive permite que aplicativos de terceiros acessem todos os arquivos de um usuário, mesmo quando apenas um documento é autorizado. A Microsoft ainda não lançou uma correção, e é recomendável desativar essa função temporariamente.
Uma vulnerabilidade crítica no OneDrive, serviço de armazenamento em nuvem da Microsoft, pode permitir que aplicativos de terceiros acessem todos os arquivos de um usuário, mesmo quando este autoriza o envio de apenas um documento. A falha foi descoberta por pesquisadores da Oasis Security e divulgada no dia 28 de maio de 2025.
O problema está relacionado ao recurso "File Picker" do OneDrive, utilizado por diversos aplicativos, como ChatGPT, Slack, Trello e ClickUp, para facilitar o envio de arquivos. Ao autorizar o envio de um arquivo, o usuário, na verdade, concede permissão para que o aplicativo acesse todo o conteúdo do seu armazenamento em nuvem.
Isso ocorre devido à ausência de controles mais específicos nas permissões (chamadas de "OAuth scopes") e à apresentação de telas de consentimento pouco claras.
Além disso, os tokens de acesso, que funcionam como chaves para autorizar o acesso aos dados, são armazenados de forma insegura no navegador, em texto simples. Em alguns casos, esses tokens incluem "refresh tokens", que permitem ao aplicativo manter o acesso contínuo aos dados do usuário sem solicitar nova autorização.
A Microsoft reconheceu a falha após a divulgação responsável feita pelos pesquisadores, mas ainda não lançou uma correção. Enquanto isso, especialistas recomendam desativar temporariamente a opção de envio de arquivos via OneDrive em aplicativos de terceiros e evitar o uso de refresh tokens até que uma solução segura seja implementada.
Essa vulnerabilidade destaca a importância de revisar cuidadosamente as permissões concedidas a aplicativos e de manter práticas de segurança rigorosas no gerenciamento de dados em nuvem.
É uma falha que permite que aplicativos de terceiros acessem todos os arquivos de um usuário quando apenas um documento é autorizado.
Aplicativos como ChatGPT, Slack, Trello e ClickUp utilizam o recurso File Picker do OneDrive, tornando-se vulneráveis.
Desative o envio de arquivos via OneDrive em aplicativos de terceiros e evite o uso de refresh tokens.
Sim, a Microsoft reconheceu a falha, mas ainda não lançou uma correção.
Revisar permissões ajuda a prevenir acessos não autorizados aos dados do usuário e a manter a segurança das informações armazenadas em nuvem.
Para garantir a proteção dos seus dados e da sua empresa, conte com a LC SEC. Oferecemos soluções especializadas em segurança digital para prevenir e mitigar riscos cibernéticos.
Referência: