| 요약 | - MS 클라우드 서비스인 OneDrive에 연동 앱들이 사용자 폴더 전체를 볼 수 있는 보안 허점 발견 - OneDrive에 저장된 파일을 챗GPT에 올릴 때, 업로드된 파일뿐 아니라 다른 모든 파일을 보거나 수정할 수 있음 |
| 내용 | - Oasis Security 연구팀, OneDrive File Picker 기능에서 보안 허점 발견 > OneDrive File Picker : 윈드라이브에서 업로드할 파일을 선택할 때 쓰는 기능 > OneDrive File Picker를 통해 파일을 업로드할 때, 사용자의 전체 OneDrive 콘텐츠에 접근할 수 있음 - OneDrive에 대한 세분화된 OAuth 범위가 없기 때문에 발생하는 문제 > OneDrive File Picker 구현에서 단일 파일만 업로드하는 경우에도 전체 드라이브에 대한 읽기 권한 요청 > 업로드 완료 전 사용자에게 동의를 요청하는 메시지가 표시되나 메시지의 모호성 존재 - 또, OneDrive File Picker 관련 인증에 주로 쓰이는 마이크로소프트 인증 라이브러리(MSAL)에서도 문제 발견 > 인증 토큰 정보를 브라우저의 세션 저장 공간에 평문으로 저장 > 토큰을 자주 재발급해 사용자 데이터에 접근할 수 있는 기간을 늘인다는 문제도 존재 - MS 계정 페이지에서 외부 앱 접근 권한을 확인하고 불필요한 앱의 공유 중단 필요 |
| 기타 | - Oasis는 취약점 발견 직후 MS와 해당 기능을 사용하는 기업에 통보 > MS 문제 개선 약속 |
보안뉴스
챗GPT에 파일 올렸을 뿐인데...내 원드라이브 다 노출된다고?
마이크로소프트 클라우드 서비스인 원드라이브에 연동 앱들이 사용자 폴더 전체를 들여다볼 수 있는 보안 허점이 있는 것으로 드러났다. 원드라이브에 저장된 파일을 챗GPT에 올릴 때, 챗GPT 앱
www.boannews.com
OneDrive File Picker OAuth Flaw Exposes Full Drive Access
Oasis Security reveals a OneDrive File Picker flaw allowing full drive read access via OAuth, affecting apps like ChatGPT, Slack, Trello, and ClickUp.
www.oasis.security
'보안뉴스' 카테고리의 다른 글
| 개인정보 국외 이전 쉽게…글로벌 CBPR 인증심사 개시 외 4건 (1) | 2025.06.10 |
|---|---|
| 중국 해커 그룹, 글로벌 보안기업 포함 전 세계 70개 조직 사이버공격 시도...한국 보안기업들도 주의 외 1건 (1) | 2025.06.10 |
| 락빗 랜섬웨어 조직, 내부 데이터 유출로 치명적 타격 외 1건 (1) | 2025.05.12 |
| CJ올리브네트웍스 디지털 인증서 北에 털렸다...국책 기계연 공격 시도 외 3건 (0) | 2025.05.12 |
| “해킹시도 초당 3만6000건, 다크넷에 새 취약점 4만개, 다크웹 유출정보 1000억건 기록” 외 1건 (0) | 2025.05.09 |