Uma falha crítica foi descoberta no seletor de arquivos do Microsoft OneDrive, permitindo que sites obtenham acesso total ao armazenamento em nuvem do usuário, mesmo quando apenas um único arquivo é carregado. O problema está relacionado a permissões excessivamente amplas no protocolo OAuth, combinadas com telas de consentimento pouco claras, que não explicam corretamente o nível de acesso concedido. Isso pode levar usuários a autorizar, sem saber, que aplicativos acessem todos os seus arquivos.

Serviços integrados ao OneDrive, como Slack, Trello, ClickUp e até assistentes virtuais, podem estar vulneráveis devido a essa configuração. A falha decorre da ausência de escopos granulares no OAuth do OneDrive, que solicita permissão para leitura de todo o drive mesmo em uploads pontuais. A situação se agrava com a prática de armazenar tokens de acesso de forma insegura no navegador, em texto claro, e o uso de tokens de atualização, que garantem acesso contínuo sem nova permissão do usuário. Isso aumenta os riscos de vazamento de dados e compromete a segurança tanto de usuários comuns quanto de empresas.

A Microsoft reconheceu a falha, mas ainda não liberou uma correção. Enquanto isso, recomenda-se desativar temporariamente o uso do OneDrive para uploads via OAuth ou, ao menos, evitar o uso de tokens de atualização e assegurar que tokens de acesso sejam armazenados com segurança e descartados quando não forem mais necessários. Essa descoberta ressalta a importância da gestão cuidadosa de permissões OAuth e da revisão constante de práticas de segurança em integrações com serviços em nuvem.