Il File Picker, uno strumento pensato per semplificare il caricamento di documenti da OneDrive a piattaforme esterne, viene spesso utilizzato da app come ChatGPT, Slack, Trello e ClickUp. Il problema, secondo Oasis, è che questo strumento non limita l'accesso al singolo file selezionato: al contrario, garantisce all’applicazione esterna la possibilità di leggere l’intero contenuto dell’account OneDrive. Un accesso “read-only” ma potenzialmente illimitato, che può rappresentare una grave falla nel sistema di sicurezza per individui e aziende.
L'analisi sottolinea come il meccanismo di autorizzazione OAuth utilizzato da Microsoft, in combinazione con token d’accesso mal gestiti e prompt fuorvianti, lasci ampio spazio a utilizzi impropri. In particolare, i token sono spesso archiviati in chiaro nella sessione del browser e, in alcuni casi, possono essere rinnovati automaticamente con un token di aggiornamento, prolungando l’accesso ben oltre quello previsto. Insomma, i criminali, magari intenzionati a cercare carte d'identità e altri documenti sensibili, possono solo che andare a nozze davanti ad un'opportunità del genere. Ma come è possibile che Redmond sia caduta in un errore così marchiano?
Secondo Oasis, la colpa non ricade solo sull’implementazione tecnica, ma anche sul linguaggio poco chiaro utilizzato da Microsoft nei prompt di autorizzazione. Gli utenti, ingannati da richieste apparentemente innocue, non si rendono conto di star concedendo accesso illimitato ai propri file. Il consiglio per aziende e utenti individuali è chiaro: rivedere immediatamente tutte le autorizzazioni concesse a terze parti, seguendo le linee guida pubblicate da Oasis. Nel frattempo, Techspot scrive che l'azienda è stata da tempo avvertita della vulnerabilità e che starebbe valutando quali misure introdurre per stemperare o eliminare definitivamente il problema senza compromettere le funzionalità di File Picker.
Elden Ring Nightreign ha già venduto oltre 3,5 milioni di copie