O que é a falha no OneDrive

Uma vulnerabilidade crítica no OneDrive, serviço de armazenamento em nuvem da Microsoft, pode permitir que aplicativos de terceiros acessem todos os arquivos de um usuário, mesmo quando este autoriza o envio de apenas um documento. A falha foi descoberta por pesquisadores da Oasis Security e divulgada no dia 28 de maio de 2025.

Como funciona

O problema está relacionado ao recurso "File Picker" do OneDrive, utilizado por diversos aplicativos, como ChatGPT, Slack, Trello e ClickUp, para facilitar o envio de arquivos. Ao autorizar o envio de um arquivo, o usuário, na verdade, concede permissão para que o aplicativo acesse todo o conteúdo do seu armazenamento em nuvem.

Isso ocorre devido à ausência de controles mais específicos nas permissões (chamadas de "OAuth scopes") e à apresentação de telas de consentimento pouco claras.

Além disso, os tokens de acesso, que funcionam como chaves para autorizar o acesso aos dados, são armazenados de forma insegura no navegador, em texto simples. Em alguns casos, esses tokens incluem "refresh tokens", que permitem ao aplicativo manter o acesso contínuo aos dados do usuário sem solicitar nova autorização.

Sinais de alerta / Como identificar

A Microsoft reconheceu a falha após a divulgação responsável feita pelos pesquisadores, mas ainda não lançou uma correção. Enquanto isso, especialistas recomendam desativar temporariamente a opção de envio de arquivos via OneDrive em aplicativos de terceiros e evitar o uso de refresh tokens até que uma solução segura seja implementada.

O que fazer agora / Como se proteger

1. Desative a opção de envio de arquivos via OneDrive em aplicativos de terceiros.
2. Evite o uso de refresh tokens até que a Microsoft lance uma correção.
3. Revise as permissões concedidas a aplicativos de terceiros.
4. Mantenha práticas de segurança rigorosas no gerenciamento de dados em nuvem.

Prevenção / Boas práticas

Essa vulnerabilidade destaca a importância de revisar cuidadosamente as permissões concedidas a aplicativos e de manter práticas de segurança rigorosas no gerenciamento de dados em nuvem.

Perguntas frequentes

O que é a vulnerabilidade no OneDrive?

É uma falha que permite que aplicativos de terceiros acessem todos os arquivos de um usuário quando apenas um documento é autorizado.

Quais aplicativos são afetados pela falha?

Aplicativos como ChatGPT, Slack, Trello e ClickUp utilizam o recurso File Picker do OneDrive, tornando-se vulneráveis.

Como posso me proteger até que a falha seja corrigida?

Desative o envio de arquivos via OneDrive em aplicativos de terceiros e evite o uso de refresh tokens.

A Microsoft já se manifestou sobre a falha?

Sim, a Microsoft reconheceu a falha, mas ainda não lançou uma correção.

Qual é a importância de revisar permissões de aplicativos?

Revisar permissões ajuda a prevenir acessos não autorizados aos dados do usuário e a manter a segurança das informações armazenadas em nuvem.

Referência:

The Hacker News