ลองนึกภาพว่าคุณเปิดหน้าเว็บแอป แล้วอัปโหลดแค่ไฟล์เดียวจาก OneDrive… แต่เบื้องหลัง เว็บนั้นกลับ “เห็น” ทุกไฟล์ในคลาวด์ของคุณโดยที่คุณไม่รู้ตัว! ใช่แล้วค่ะ เรื่องนี้กำลังเกิดขึ้นจริง จากช่องโหว่ที่นักวิจัยด้านความปลอดภัยพบในฟีเจอร์ OneDrive File Picker ของ Microsoft
ทีมวิจัยจาก Oasis รายงานว่า OneDrive File Picker ขอสิทธิ์การเข้าถึงแบบ “เกินจำเป็น” ผ่านระบบ OAuth สิ่งที่จะเกิดขึ้นก็คือ แม้แค่เลือกอัปโหลดไฟล์เดียว แต่เว็บก็สามารถเข้าถึงทั้งไดรฟ์ได้, ไม่มีการแยก Scope สิทธิ์อย่างละเอียด (fine-grained scopes), และหน้าจอขอสิทธิ์ (consent screen) ก็บอกไม่ชัดว่ากำลังให้สิทธิ์ขนาดไหน
แถมเรื่องนี้ยังไม่ใช่ปัญหาเล็ก ๆ เพราะมีหลายแอปยอดฮิตอย่าง ChatGPT, Slack, Trello และ ClickUp ที่เชื่อมต่อกับ OneDrive ของ Microsoft อยู่แล้ว ซึ่งหมายความว่าถ้าคุณใช้แอปพวกนี้อัปโหลดไฟล์จาก OneDrive ก็อาจเผลอเปิดสิทธิ์ให้แอปเข้าถึงไฟล์ทั้งไดรฟ์ได้โดยไม่รู้ตัวเลยด้วยซ้ำ
แล้วผู้ใช้จะได้รับผลกระทบอะไรบ้าง
- ผู้ใช้เข้าใจผิดว่ากำลังให้สิทธิ์เฉพาะไฟล์เดียว
- เว็บแอปสามารถดู/ดาวน์โหลดไฟล์ทั้งหมดใน OneDrive ได้
- ถ้าแอปเก็บ token แบบไม่ปลอดภัย (เช่นใน session storage) ก็มีโอกาสโดนขโมยสิทธิ์
- Refresh token ยังทำให้แอปเข้าได้ตลอดโดยไม่ต้องล็อกอินซ้ำอีก
เบื้องต้นแนะนำให้
- หลีกเลี่ยงการใช้ OneDrive File Picker ผ่าน OAuth
- หลีกเลี่ยงการใช้ refresh token หากไม่จำเป็น
- จัดการ token อย่างปลอดภัย และเคลียร์ทิ้งทันทีที่ใช้งานเสร็จ
- ตรวจสอบแอปที่เชื่อมกับ OneDrive ว่าขอสิทธิ์เกินเหตุหรือไม่
การให้สิทธิ์ “เกินจำเป็น” แม้โดยไม่รู้ตัว อาจทำให้ทั้งข้อมูลส่วนตัวและข้อมูลธุรกิจรั่วไหลได้
ช่องโหว่ OneDrive File Picker ครั้งนี้เป็นบทเรียนสำคัญ ว่าแม้เป็นบริการระดับโลก ก็ต้องระวังเรื่อง OAuth และความเข้าใจของผู้ใช้ให้มากขึ้น
ถ้าคุณไม่แน่ใจว่าองค์กรของคุณปลอดภัยหรือยัง…
ให้ hostatom ดูแลความปลอดภัยของข้อมูลคุณ ตั้งแต่ระบบอีเมลไปจนถึงไฟล์บนคลาวด์
ดูบริการ Microsoft 365 จาก hostatom ได้ที่:
https://www.hostatom.com/microsoft-365/
ที่มา: The Hacker News
