Indice
Cloud Microsoft sotto accusa: dati utenti a rischio privacy e sicurezza. Oasis Security svela falle preoccupanti
OneDrive, il popolare servizio di cloud storage di Microsoft, finisce sotto i riflettori per presunte falle nella sicurezza. Secondo un’indagine condotta dagli esperti di Oasis Security, il noto strumento File Picker utilizzato da OneDrive potrebbe consentire a siti, app e servizi esterni di accedere con troppa facilità ai dati degli utenti. La funzione, che permette di caricare rapidamente documenti dal cloud a piattaforme esterne, non limita infatti l’accesso esclusivamente al file selezionato, ma apre invece potenzialmente tutto l’account. Sebbene l’accesso fornito sia “read-only“, cioè limitato alla sola lettura, il rischio resta molto alto. La preoccupazione principale degli analisti riguarda la possibilità che tale funzionalità diventi una vera e propria “porta aperta” per attacchi hacker, mettendo così a rischio la privacy di singoli utenti e aziende. Un problema che appare ancora più serio considerando l’ampio utilizzo di OneDrive sia in contesti personali sia lavorativi.
File Picker e OAuth: due vulnerabilità connesse
Il cuore del problema individuato da Oasis Security ruota attorno a due aspetti chiave. Il primo riguarda il File Picker stesso, che concede un accesso troppo permissivo, superando i limiti di sicurezza previsti.
Il secondo punto critico riguarda invece il protocollo di autorizzazione OAuth. Questo sistema, pensato per semplificare le autorizzazioni di accesso, lascia spazio a possibili negligenze o errori umani.
Spesso, infatti, gli utenti archiviano i token di accesso in chiaro nelle sessioni del browser. In altri casi, tali token possono persino rinnovarsi automaticamente, estendendo di fatto il tempo di esposizione e aumentando significativamente il rischio di intrusioni esterne.
Dati esposti e rischi concreti di phishing
Le conseguenze di questa gestione disinvolta della sicurezza possono essere gravi. Come sottolineato dai ricercatori, le vulnerabilità create dal File Picker e da OAuth rappresentano una grande occasione per i criminali informatici. Questi, sfruttando dati personali rubati, potrebbero facilmente orchestrare campagne di phishing mirate e altamente pericolose.
Una leggerezza nella gestione degli accessi, quindi, potrebbe tradursi in violazioni della privacy, perdita di dati sensibili e, di conseguenza, in possibili violazioni delle normative sulla protezione dei dati personali come il GDPR europeo.
Come difendersi dalla falla di sicurezza di OneDrive
Secondo il sito specializzato Techspot, Microsoft sarebbe stata avvisata da tempo della situazione e starebbe già lavorando a una soluzione tecnica. Tuttavia, la priorità resta bilanciare sicurezza e usabilità del File Picker.
Intanto, gli esperti raccomandano agli utenti, sia privati che aziendali, di verificare immediatamente tutte le autorizzazioni concesse a servizi di terze parti. È essenziale seguire scrupolosamente le linee guida diffuse da Oasis Security, revocando eventuali permessi superflui o non necessari.
Fonte:
