När en användare ansluter en webbtjänst eller mobilapp till Onedrive för att ladda upp en fil – till exempel för att låta Chat GPT analysera ett dokument – kan det verka som att enbart den filen kommer laddas upp till tjänsten.
Men i själva verket ger funktionen läsbehörighet till hela användarens Onedrive-utrymme, skriver Oasis Security i en rapport publicerad förra veckan.
Onedrives filväljare gör det inte tydligt att användaren ger appar och tjänster fullständig åtkomst och att det inte finns något sätt att välja åtkomst till enbart en viss mapp eller enstaka filer, skriver Oasis i rapporten. Dessutom måste utvecklare av tjänster som använder filväljaren hantera autentisering mot Onedrive på egen hand.
Enligt Oasis sker det vanligen med Microsoft Authentication Library (MSAL) och Authentication Flow. Det innebär att om utvecklaren inte har lagt till ytterligare säkerhet så lagras autentiseringsfiler okrypterat i webbläsaren, och åtkomsten till Onedrive förlängs så att tjänsten i teorin kan rota runt bland användarens filer. Onedrive-filväljaren används av hundratals webbplatser och appar, inklusive bland annat Chat GPT, Slack och Trello.
Oasis har rekommendationer för såväl enskilda användare som för organisationer och utvecklare som använder Onedrives filväljare. För användare handlar det om att regelbundet kontrollera till vilka appar eller tjänster de har gett åtkomst till kontot. Utvecklare uppmanas bland annat att inte begära en så kallad Refresh Token.
För en del appar och program kan fullständig åtkomst så klart vara av nytta – till exempel för backupmjukvara som Duplicati – men i de flesta fall hade det varit vettigare att kunna ge begränsad åtkomst.
