OneDrive Dosya Seçici Güvenlik Açığı: Tek Dosya Paylaşımı Tüm Sürücüye Erişim Veriyor!

Microsoft'un Windows kullanıcılarına agresif bir şekilde pazarladığı ve bu sayede piyasadaki en popüler bulut depolama hizmetlerinden biri haline gelen OneDrive, şimdi ciddi bir güvenlik açığıyla gündemde. Güvenlik araştırmacıları, OneDrive'ın "Dosya Seçici" (File Picker) özelliğinin, kullanıcıların ve kurumların verilerini yetkisiz erişime açarak büyük bir risk oluşturduğu konusunda uyarıyor. Bu durum, Microsoft'un güvenlik konusundaki dikkatsizliğini ve kullanıcı verilerinin ne denli savunmasız kalabileceğini gözler önüne seriyor.

Microsoft'un Güvenlik Sınırlarındaki Tehlikeli İhmali

Güvenlik firması Oasis Security tarafından yakın zamanda yapılan derinlemesine bir analiz, OneDrive'ın Dosya Seçici aracının, web sitelerine, uygulamalara ve dış kullanıcılara, hizmette depolanan tüm içeriğe tam okuma erişimi verebildiğini ortaya koydu. Bu durum, görünüşte zararsız bir dosya paylaşım işleminin, aslında tüm OneDrive hesabınızın kapılarını ardına kadar açabileceği anlamına geliyor. Oasis Security, bu bariz güvenlik zafiyetinin hem bireysel kullanıcıları hem de kurumsal yapıları ciddi risk altına soktuğunu vurgulayarak, daha önce verilmiş tüm izinlerin kapsamlı bir şekilde denetlenmesini şiddetle tavsiye ediyor.

Dosya Seçici Nasıl Çalışıyor ve Risk Nerede Yatıyor?

Dosya Seçici (File Picker) özelliği, şirketlere ve kullanıcılara OneDrive hesaplarından hızlı ve kolay bir şekilde dosya yükleme imkanı sunmak üzere tasarlanmıştır. OpenAI'nin ChatGPT'si de dahil olmak üzere birçok popüler çevrimiçi hizmet, kullanıcı deneyimini iyileştirmek için bu özellikten faydalanmaktadır. Ancak asıl sorun, bu aracın erişimi yalnızca seçilen belirli bir dosyayla sınırlamak yerine, harici hizmetlere tüm depolama alanına genel bir erişim yetkisi tanımasıyla başlıyor. Yani, siz sadece bir Word belgesi paylaşmak isterken, farkında olmadan tüm fotoğraf arşivinize, kişisel belgelerinize veya şirketinizin hassas verilerine erişim izni vermiş olabilirsiniz.

Milyonlarca Kullanıcı ve Yüzlerce Uygulama Risk Altında

Oasis Security'nin tahminlerine göre, aralarında ChatGPT, Slack, Trello, ClickUp gibi yaygın olarak kullanılan platformların da bulunduğu yüzlerce uygulama bu sorundan etkileniyor. Bu durum, milyonlarca kullanıcının farkında olmadan bu hizmetlere OneDrive dosyalarına sınırsız erişim izni vermiş olabileceği anlamına geliyor. Böylesine geniş kapsamlı bir yetkilendirme, kaçınılmaz olarak veri sızıntılarına, gizlilik ihlallerine ve hatta kimlik hırsızlığına zemin hazırlayabilir. Kurumsal kullanıcılar için ise bu durum, GDPR, KVKK gibi veri koruma yönetmeliklerine uyumsuzluk riskini de beraberinde getirerek ciddi yasal ve mali yaptırımlara yol açabilir.

Microsoft'un Yanıltıcı İfadeleri ve Kullanıcı Bilinçsizliği

Oasis Security, Microsoft'u kullanıcıları bir dosya yüklemesi başlatmaya teşvik ederken kullandığı muğlak ve yanıltıcı dil nedeniyle de eleştiriyor. Rapora göre Microsoft, Dosya Seçici aracılığıyla verilen erişimin tam kapsamını net bir şekilde açıklamıyor. Bu durum, kullanıcıların meşru bir erişim talebi ile verileri sızdırmaya yönelik potansiyel olarak kötü niyetli bir girişim arasında ayrım yapmasını imkansız hale getiriyor. Kullanıcılar, sadece tek bir dosyaya erişim verdiklerini düşünürken, aslında tüm dijital varlıklarını tehlikeye atıyorlar.

Teknik Detaylar: Güvensiz Saklanan Token'lar ve Süresiz Erişim

Oasis ayrıca, erişim taleplerini yetkilendirmek için kullanılan gizli "token"ların (erişim anahtarları) varsayılan olarak güvensiz bir şekilde saklandığı konusunda da uyarıyor. Dosya Seçici'nin 8.0 sürümünde, geliştiricilerin Microsoft'un Kimlik Doğrulama Kütüphanesi (MSAL) ile OAuth'un Yetkilendirme Akışını (Authorization Flow) kullanarak kimlik doğrulama uygulaması gerekiyor. Ancak MSAL API'sinin, token'ları tarayıcının oturum depolama alanında düz metin olarak sakladığı ve Yetkilendirme Akışının bir "yenileme token'ı" (refresh token) aracılığıyla erişimi süresiz olarak uzatabildiği belirtiliyor. Bu, bir kez erişim izni verildiğinde, bu iznin teorik olarak kötü niyetli kişiler tarafından sürekli olarak kullanılabilmesi anlamına geliyor.

Oasis, durumu şu sözlerle özetliyor: "İnce taneli OAuth kapsamlarının eksikliği ile Microsoft'un muğlak kullanıcı istemlerinin birleşimi, hem kişisel hem de kurumsal kullanıcıları riske atan tehlikeli bir kombinasyondur."

Kullanıcılar ve Kurumlar Ne Yapmalı?

Bu vahim tablo karşısında, bireysel kullanıcıların ve kurumsal yöneticilerin, daha önce OneDrive üzerinden üçüncü taraf uygulamalara verdikleri tüm erişim izinlerini acilen gözden geçirmeleri gerekiyor. Oasis, bu süreci kolaylaştırmak için detaylı bir kontrol listesi de yayınladı. Güvenlik araştırmacılarının bu önemli bulguyu Microsoft'a ve etkilenen üçüncü taraf sağlayıcılara bildirdiği ve Redmond merkezli teknoloji devinin hizmette gelecekte iyileştirmeler yapmayı "değerlendirdiği" bildiriliyor.

Ancak bu iyileştirmeler gelene kadar proaktif olmak hayati önem taşıyor. OneDrive kullanıcılarının, hangi uygulamaların verilerine erişimi olduğunu düzenli olarak kontrol etmesi ve gereksiz ya da şüpheli görünen tüm izinleri derhal iptal etmesi, olası veri felaketlerinin önüne geçmek için atılacak en önemli adımlardan biridir. Unutmayın, dijital dünyada güvenlik, öncelikle bilinçli kullanıcı davranışlarıyla başlar.