Sensible Dokumente auf Docs.com per Suchfunktion öffentlich

Durch eine fragwürdige Standardeinstellung auf Microsofts Plattform Docs.com sind Dokumente von Nutzern per Suchfunktion öffentlich abrufbar. Diese enthalten mitunter sensible Daten wie Sozialversicherungsnummern.

- - in Technologie - eine Ergänzung
Nicht im Aktenschrank, sondern öffentlich: Docs.com (Symbolbild) – Public Domain Samuel Zeller

Auf Microsofts Filehoster-Plattform Docs.com können Nutzer Dokumente hochladen und weiterverbreiten. Jedoch ist die Seite zudem mit einer Suchfunktion über alle verfügbaren Dokumente versehen. So hat jeder Zugriff auf sensible Dokumente, da Nutzer übersehen, dass sie diese Daten nach dem Hochladen nicht nur mit ihrem Büro teilen. Dies berichtet Ars Technica.

Passwörter, Krankenakten, Sozialversicherungsnummern

Sicherheitsforscher Kevin Beaumont fand die zweifelhafte Funktionalität am vergangenen Samstag und teilte seinen Fund auf Twitter. Andere suchten daraufhin auch auf Docs.com und stellten fest: Zu den sensiblen Dokumenten gehören zum Beispiel Excel-Tabellen mit Passwörtern, aber auch Krankenakten und Sozialversicherungsnummern. Mit Stichproben konnte netzpolitik.org bestätigen, dass die Suchfunktion Dokumente mit sensiblen Daten listet.

https://twitter.com/GossiTheDog/status/845447191833513984

Öffentlichkeit als Standard

Die Standardeinstellung der Plattform nach dem Hochladen besagt, dass alle im Internet das Dokument aufrufen können. Docs.com weist explizit daraufhin, dass dies der Standard ist und fordert beim Speichern den Nutzer auf, diese Entscheidung zu bestätigen. Dem Nutzer gegenüber wird diese Funktionalität mit mehr Reichweite der Dokumente begründet, was bei einem Portfolio von Vorteil sein kann. Wann Microsoft diese Standardeinstellung wie beschrieben eingefügt hat, ist nicht bekannt.

Der Nutzer kann das Dokument zwar zudem so absichern, dass es nur abrufbar ist, wenn die exakte URL zu dem Dokument bekannt ist. Eine Möglichkeit des Passwortschutzes ist aber nicht gegeben.

Microsoft reagierte am Montag und deaktivierte die Suchfunktion, um sie jedoch drei Stunden später wieder zu aktivieren. Ein Pressesprecher Microsofts, den Ars Technica zitiert, weist Kunden darauf hin, ihre Einstellungen auf der Plattform zu prüfen. Nach derzeitigem Stand sind immer noch sensible Dokumente auffindbar.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Lennart Mühlenmeier schreibt seit dem Frühjahr 2017 immer mal wieder für netzpolitik.org, vor allem wenn es gegen Repression und gegen (staatliche) Überwachung geht. Kontaktmöglichkeiten gibt es.

Veröffentlicht 28.03.2017 um 13:07
Kategorie
Schlagworte
Weitere Artikel
Cloud und Schrift
Generell

SkyDrive: Microsoft durchsucht Nutzer-Daten in der Cloud nach AGB-Verletzungen und sperrt Accounts (Update)

Microsoft hat mehreren Kunden den diensteübergreifenden Account „Windows Live ID“ gesperrt. Sie hatten auf dem Filehosting-Dienst SkyDrive private Dateien gespeichert, die gegen Microsofts AGB verstoßen. Damit gehen auch E-Mails von Hotmail verloren. Auch Microsoft pflegt die Unsitte der großen Smartphone-Hersteller, die Features des Geräts nur mit einem personifizierten Account möglich zu machen. Bei Windows Phone […]

Lesen Sie diesen Artikel: SkyDrive: Microsoft durchsucht Nutzer-Daten in der Cloud nach AGB-Verletzungen und sperrt Accounts (Update)
Linkschleuder

IT-Service warnt EU-Parlament: MS Outlook auf iOS wegen „schwerwiegenden Sicherheitsmängeln“ löschen.

Mitarbeiter und Abgeordnete des EU-Parlaments müssen Microsoft Outlook nutzen, wenn sie Zugriff auf die offizielle Mailinfrastruktur haben wollen. Viele nutzen das auch mobil. Der IT-Service des EU-Parlaments warnte heute in einer Mail vor schwerwiegenden Sicherheitsmängeln und fordert die Löschung der App sowie das Neusetzen eines Passwortes. Das ist die Mail: Schwerwiegende Sicherheitsmängel Sehr geehrte Benutzerin, […]

Lesen Sie diesen Artikel: IT-Service warnt EU-Parlament: MS Outlook auf iOS wegen „schwerwiegenden Sicherheitsmängeln“ löschen.
Datenschutz

Privatsphäre unter Windows 10 weiterhin mangelhaft geschützt

Die Artikel-29-Datenschutzgruppe der Europäischen Kommission erinnert Nutzer von Microsofts Windows 10 an die besorgniserregenden Privatsphäre-Einstellungen des Betriebssystems. Das Gremium fordert Microsoft auf, klar auszuweisen, welche personenbezogenen Daten an den Konzern übermittelt werden, berichtet Reuters. Zwar habe sich Microsoft ko­ope­ra­ti­ons­be­reit gezeigt, schreiben die Datenschützer, weisen aber darauf hin, dass der Hersteller seinen Nutzern bei der Installation […]

Lesen Sie diesen Artikel: Privatsphäre unter Windows 10 weiterhin mangelhaft geschützt

Eine Ergänzung

  1. Uffz. Also docs.com ist doch genau dafür da: Zum Teilen von Dokumenten mit der Öffentlichkeit. Welcher Knallfrosch lädt denn da sensible Daten hoch? Dafür gibt es Onedrive for Business o.ä. So sehr es sicherlich ein Problem ist, dass die öffentliche Suche Dokumente einschließt, die nur einem eingeschränkten Personenkreis zugänglich gemacht wurde, so sehr sollte man bei den entsprechenden Nutzern einmal den Puls fühlen. :-| Schatten-IT lässt grüßen…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.