Sensible Dokumente auf Docs.com per Suchfunktion öffentlich

Durch eine fragwürdige Standardeinstellung auf Microsofts Plattform Docs.com sind Dokumente von Nutzern per Suchfunktion öffentlich abrufbar. Diese enthalten mitunter sensible Daten wie Sozialversicherungsnummern.

Nicht im Aktenschrank, sondern öffentlich: Docs.com (Symbolbild) – Public Domain Samuel Zeller

Auf Microsofts Filehoster-Plattform Docs.com können Nutzer Dokumente hochladen und weiterverbreiten. Jedoch ist die Seite zudem mit einer Suchfunktion über alle verfügbaren Dokumente versehen. So hat jeder Zugriff auf sensible Dokumente, da Nutzer übersehen, dass sie diese Daten nach dem Hochladen nicht nur mit ihrem Büro teilen. Dies berichtet Ars Technica.

Passwörter, Krankenakten, Sozialversicherungsnummern

Sicherheitsforscher Kevin Beaumont fand die zweifelhafte Funktionalität am vergangenen Samstag und teilte seinen Fund auf Twitter. Andere suchten daraufhin auch auf Docs.com und stellten fest: Zu den sensiblen Dokumenten gehören zum Beispiel Excel-Tabellen mit Passwörtern, aber auch Krankenakten und Sozialversicherungsnummern. Mit Stichproben konnte netzpolitik.org bestätigen, dass die Suchfunktion Dokumente mit sensiblen Daten listet.

https://twitter.com/GossiTheDog/status/845447191833513984

Öffentlichkeit als Standard

Die Standardeinstellung der Plattform nach dem Hochladen besagt, dass alle im Internet das Dokument aufrufen können. Docs.com weist explizit daraufhin, dass dies der Standard ist und fordert beim Speichern den Nutzer auf, diese Entscheidung zu bestätigen. Dem Nutzer gegenüber wird diese Funktionalität mit mehr Reichweite der Dokumente begründet, was bei einem Portfolio von Vorteil sein kann. Wann Microsoft diese Standardeinstellung wie beschrieben eingefügt hat, ist nicht bekannt.

Der Nutzer kann das Dokument zwar zudem so absichern, dass es nur abrufbar ist, wenn die exakte URL zu dem Dokument bekannt ist. Eine Möglichkeit des Passwortschutzes ist aber nicht gegeben.

Microsoft reagierte am Montag und deaktivierte die Suchfunktion, um sie jedoch drei Stunden später wieder zu aktivieren. Ein Pressesprecher Microsofts, den Ars Technica zitiert, weist Kunden darauf hin, ihre Einstellungen auf der Plattform zu prüfen. Nach derzeitigem Stand sind immer noch sensible Dokumente auffindbar.

1 Ergänzungen

  1. Uffz. Also docs.com ist doch genau dafür da: Zum Teilen von Dokumenten mit der Öffentlichkeit. Welcher Knallfrosch lädt denn da sensible Daten hoch? Dafür gibt es Onedrive for Business o.ä. So sehr es sicherlich ein Problem ist, dass die öffentliche Suche Dokumente einschließt, die nur einem eingeschränkten Personenkreis zugänglich gemacht wurde, so sehr sollte man bei den entsprechenden Nutzern einmal den Puls fühlen. :-| Schatten-IT lässt grüßen…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.