Microsoft 的雲端儲存服務 OneDrive 正面臨一波嚴重的濫用問題:自 2025 年 12 月起,大量陌生人(極可能是自動化機器人)開始對一般用戶發起「惡意檔案共享」攻勢,導致受害者的 OneDrive 收件通知不斷湧現,卻完全沒有辦法從根本阻擋。
問題怎麼發生的?
OneDrive 的設計允許任何人只要知道對方的電子郵件地址,就可以向其傳送共享檔案的邀請。這個機制原本是為了方便用戶之間協作,但也因此成為垃圾訊息發送者的漏洞。
問題最早在 2025 年 12 月初開始浮現,大批用戶回報 OneDrive 帳號被陌生帳號(疑似機器人)持續以共享資料夾的方式轟炸,而且完全沒有辦法阻止。
這些共享邀請會以電子郵件通知的形式送達,部分直接進入垃圾郵件匣,部分卻落在收件匣。更惱人的是,即使用戶在 OneDrive 網頁上看到這些共享檔案,也往往無法順利刪除或回報。
沒有「封鎖所有陌生人」的選項
OneDrive 目前的設計存在根本性缺陷:平台本身並未提供「禁止陌生用戶共享檔案」的選項,也就是說用戶無從從源頭阻止這類行為。
Microsoft 官方客服在論壇上建議用戶採取以下四種應對方式:封鎖寄件人的電子郵件地址、在 OneDrive 設定中關閉共享通知、針對每個可疑檔案逐一回報濫用,以及強化垃圾郵件過濾。然而,這些方式都只是治標,無法阻止新的陌生帳號繼續傳送共享邀請。
甚至有用戶反映,Microsoft 客服建議的「關閉共享通知」選項在自己的帳號設定頁面根本看不到,根本無從操作。
用戶怒火延燒,論壇投訴不斷
Microsoft 的問答論壇(Q&A)與 Feedback Portal 上已累積大量相同的投訴。有用戶形容這是「重大的安全漏洞」,每天收到多達 20 則以上的陌生共享通知,並擔憂若不慎點擊,將等同於讓駭客取得進入系統的入口。
也有用戶描述,妻子持續收到不雅內容的共享邀請,每天必須花費大量時間逐一刪除,感到十分憤怒。其他常見的用戶回報包括:每天收到約 250 則通知、刪除檔案後重新整理頁面又再度出現、點擊「回報濫用」時出現錯誤訊息而無法送出。
Microsoft 承認問題,承諾修復卻跳票
Microsoft 在問題爆發約一個月後正式承認,這個 bug 影響範圍橫跨 Windows、Mac 與 Android 三大平台,受影響的用戶無法隱藏、移除,或停止顯示出現在「共享檔案」分頁中的檔案,也無法將不明共享檔案回報為垃圾內容。Microsoft 表示目標是在 2026 年 1 月底前修復,但截至 4 月,支援文件仍未更新,問題依然懸而未決。
值得注意的是,即便 Microsoft 最終推出修復,預計也只是針對「無法隱藏或回報」的操作錯誤進行處理,並非從根本上關閉陌生人傳送共享邀請的管道。
收到陌生共享檔案怎麼辦?
目前並沒有一勞永逸的解決辦法。安全上最重要的一點,是絕對不要點開任何不明來源的共享檔案或其中的連結,因為這類檔案中可能內藏惡意程式(Malware)。
以下是目前可行的減緩措施:
在 OneDrive 網頁版前往「共享」→「與我共享的檔案」,選取可疑項目後點擊「從共享中隱藏」,雖然檔案仍存在於寄件人的 OneDrive,但至少可以讓它從自己的檢視畫面中消失。若系統允許,也可以選擇「回報濫用」,協助 Microsoft 追蹤可疑帳號。此外,若收到了共享通知的電子郵件,可以在 Outlook 或 Microsoft 帳號中封鎖該寄件人的地址,減少後續的電子郵件通知。
對於企業或學校帳號的用戶,則可請 IT 管理員透過 Microsoft 365 系統管理中心,設定限制或完全停用外部共享,這是目前最有效的阻斷方式。
這起事件再度凸顯雲端服務「開放共享」設計所帶來的資安盲點。在 Microsoft 尚未提出根本解決方案之前,用戶只能以手動方式逐一應對,保持對不明通知的高度警覺。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!