Uma vulnerabilidade crítica no OneDrive, serviço de armazenamento em nuvem da Microsoft, pode permitir que aplicativos de terceiros acessem todos os arquivos de um usuário, mesmo quando este autoriza o envio de apenas um documento. A falha foi descoberta por pesquisadores da Oasis Security e divulgada no dia 28 de maio de 2025.
O problema está relacionado ao recurso "File Picker" do OneDrive, utilizado por diversos aplicativos como ChatGPT, Slack, Trello e ClickUp para facilitar o envio de arquivos. Ao autorizar o envio de um arquivo, o usuário, na verdade, concede permissão para que o aplicativo acesse todo o conteúdo do seu armazenamento em nuvem. Isso ocorre devido à ausência de controles mais específicos nas permissões (chamadas de "OAuth scopes") e à apresentação de telas de consentimento pouco claras.
Além disso, os tokens de acesso, que funcionam como chaves para autorizar o acesso aos dados, são armazenados de forma insegura no navegador, em texto simples. Em alguns casos, esses tokens incluem "refresh tokens", que permitem ao aplicativo manter o acesso contínuo aos dados do usuário sem solicitar nova autorização.
A Microsoft reconheceu a falha após a divulgação responsável feita pelos pesquisadores, mas ainda não lançou uma correção. Enquanto isso, especialistas recomendam desativar temporariamente a opção de envio de arquivos via OneDrive em aplicativos de terceiros e evitar o uso de "refresh tokens" até que uma solução segura seja implementada.
Essa vulnerabilidade destaca a importância de revisar cuidadosamente as permissões concedidas a aplicativos e de manter práticas de segurança rigorosas no gerenciamento de dados em nuvem.
Para garantir a proteção dos seus dados e da sua empresa, conte com a LC SEC. Oferecemos soluções especializadas em segurança digital para prevenir e mitigar riscos cibernéticos. Conheça nossos serviços em: lcsec.io
Referência:
Compartilhe nas redes sociais:
