OneDrive på dybt vand: En enkelt fil kan åbne hele lagringsdøren
Microsofts OneDrive er en af de mest populære cloud-tjenester, særligt blandt Windows-brugere, som Microsoft har promoveret heftigt. Men under overfladen gemmer der sig en alvorlig sikkerhedsfejl, der kan sende både private brugere og virksomheder ud i ubehagelige datalækager.
En uskyldig fil – en åben port til hele drevet
Det drejer sig om File Picker-funktionen, som i princippet skal gøre det nemt at dele enkelte filer fra OneDrive. Desværre viser en ny analyse fra sikkerhedsfirmaet Oasis Security, at denne funktion i praksis giver eksterne apps og hjemmesider fuld adgang til hele ens OneDrive-konto – ikke bare den valgte fil.
Det betyder, at når du deler én fil via File Picker, kan tredjeparts-apps som ChatGPT, Slack, Trello, ClickUp og mange flere i virkeligheden kigge alle dine filer igennem. En kæmpe risiko for både privatliv og virksomhedssikkerhed!
En snebold med alvorlige konsekvenser
Oasis vurderer, at hundredevis af apps allerede er påvirket, og millioner af brugere har uforvarende givet disse tjenester fripas til deres data. For virksomheder er det ikke bare en privat sag – det kan føre til massive overtrædelser af GDPR og andre regler, der beskytter persondata.
Uklar kommunikation og usikre tokens
Tilmed kritiserer Oasis Microsoft for at bruge uklart og vildledende sprog, når brugere beder om at uploade en fil. Det fremgår ikke tydeligt, at man i virkeligheden giver bred adgang til hele drevet. Det gør det svært for brugeren at gennemskue, om det er en legitim eller ondsindet anmodning.
Derudover gemmes adgangstokens – de små nøgler, der åbner dørene – ofte usikkert i browseren, hvilket øger risikoen for, at uvedkommende kan opsnappe dem og få adgang.
Hvad kan du gøre?
Oasis anbefaler alle brugere og IT-administratorer at gennemgå de tilladelser, som tredjeparts-apps har fået. En detaljeret tjekliste er tilgængelig, så man kan lukke op for de apps, der har fået for vidstrakt adgang.
Microsoft er blevet opmærksom på problemet og arbejder angiveligt på forbedringer. Men indtil da bør man være ekstra varsom med, hvilke tjenester man giver adgang til sin OneDrive-konto.
Skygger over cloud-festen
OneDrive er uden tvivl en praktisk løsning i en tid, hvor cloud-lagring og samarbejde på tværs af platforme er hverdag. Men denne sag sætter fingeren på, hvordan sikkerhed kan komme til at halte, når funktionalitet prioriteres højere end beskyttelse af data.
For gamere, professionelle og almindelige brugere er budskabet klart: Hold øje med dine delingstilladelser, og lad ikke en enkelt fil være den svage led i din digitale sikkerhedskæde.
