Er is een ernstig beveiligingsprobleem ontdekt in de OneDrive File Picker van Microsoft, waardoor websites en apps volledige toegang kunnen krijgen tot je OneDrive-bestanden, zelfs als je slechts één bestand wilt delen of uploaden. Dit probleem treft populaire apps zoals ChatGPT, Slack, Trello en ClickUp, en miljoenen gebruikers kunnen al onbewust toegang hebben verleend.
🔍 Wat is er aan de hand?
- Te brede machtigingen: De OneDrive File Picker vraagt standaard om volledige lees- of schrijfrechten op je hele OneDrive, zelfs als je maar één bestand selecteert. Dit komt doordat Microsoft geen fijnmazige machtigingen (scopes) aanbiedt voor OneDrive-integraties .
- Onduidelijke toestemmingsschermen: De toestemmingsverzoeken zijn vaag geformuleerd, waardoor gebruikers niet goed begrijpen dat ze volledige toegang verlenen tot hun hele opslagruimte.
🔐 Waarom is dit zorgwekkend?
- Risico op datalekken: Kwaadwillende apps kunnen misbruik maken van deze brede toegang om gevoelige gegevens te stelen of te wijzigen.
- Onveilige opslag van toegangstokens: In oudere versies (6.0–7.2) werden tokens opgeslagen in onveilige browseropslag zoals
localStorage. De nieuwste versie (8.0) gebruikt weliswaar modernere authenticatiemethoden, maar slaat tokens nog steeds in platte tekst op in de sessieopslag van de browser .
🛡️ Wat kun je doen?
Voor individuele gebruikers:
- Controleer app-machtigingen:
- Ga naar https://account.live.com/consent/Manage.
- Log in met je Microsoft-account.
- Bekijk welke apps toegang hebben en trek onnodige machtigingen in.
- Wees voorzichtig met het delen van bestanden:
- Gebruik bij voorkeur gedeelde links met alleen-lezen toegang in plaats van bestanden direct te uploaden via de File Picker.
Voor organisaties en IT-beheerders:
- Beperk app-machtigingen:
- Gebruik het Entra Admin Center om te controleren welke apps toegang hebben tot gebruikersgegevens.
- Stel beleid in om apps met overmatige machtigingen te blokkeren of beperken.
- Implementeer voorwaardelijke toegang:
- Gebruik Conditional Access-beleid om toegang tot gevoelige gegevens te beperken op basis van gebruikersrol, locatie of apparaatstatus.
Voor ontwikkelaars:
- Vraag alleen noodzakelijke machtigingen aan:
- Beperk de aangevraagde OAuth-scopes tot het minimale benodigde niveau.
- Vermijd langdurige toegangstokens:
- Gebruik geen “offline access” tenzij absoluut noodzakelijk.
- Sla tokens veilig op en verwijder ze zodra ze niet meer nodig zijn.
📌 Conclusie
Deze kwetsbaarheid benadrukt het belang van bewustzijn bij het verlenen van machtigingen aan apps en het zorgvuldig beheren van toegang tot je gegevens. Zowel individuele gebruikers als organisaties moeten proactief hun machtigingen beheren en beveiligingsmaatregelen implementeren om hun gegevens te beschermen.
Voor meer gedetailleerde informatie kun je het volledige rapport van Oasis Security lezen: https://www.oasis.security/resources/blog/onedrive-file-picker-security-flaw-oasis-research.
Dit bericht is vertaald en vereenvoudigd door ChatGPT en daarna zorgvuldig gecontroleerd. Gebruikte bronnen: