Microsoft kämpft mit Datenschutzproblemen bei Docs.com
Über die Suchfunktion von Microsofts Dokumenten-Sharing-Site Docs.com konnten Unbefugte zahlreiche Dokumente finden, die persönliche und vertrauliche Informationen enthalten. Microsoft hatte die Suchfunktion nach Hinweisen von Nutzern daher am Wochenende zumindest teilweise vorübergehend abgeschaltet. Anscheinend handelt es sich aber nicht um eine klassische Sicherheitslücke, sondern eher um ein Konfigurationsproblem. Nutzer hatten wohl Dateien hochgeladen und dabei nicht beachtet, dass bei Docs.com in den Standardeinstellungen alle Inhalte öffentlich zugänglich sind.
Ein Microsoft-Sprecher teilte auf Nachfrage von ZDNet USA mit, man habe “Schritte eingeleitet, um denjenigen zu helfen, die unbeabsichtigt Dokumente mit vertraulichen Informationen veröffentlicht haben”. Nutzern empfahl er, ihre Upload-Einstellungen bei Docs.com zu überprüfen.
Unklar ist, ob und wenn ja welche Maßnahmen Microsoft ergriffen hat, um das Auffinden der unbeabsichtigt veröffentlichten Dokumente zu verhindern, solange die Betroffenen die Upload-Einstellungen noch nicht angepasst haben. Kreditkartenabrechnungen fanden sich heute Morgen zumindest nicht mehr. Bei einer Datei, deren Überschrift nahelegt, dass es sich um eine Abrechnung handelt, wurde eine Fehlermeldung angezeigt: Sie könne nur noch in Word Online angezeigt werden. Dadurch ist sie nicht öffentlich verfügbar.
Recherchen von ZDNet USA zufolge führte die Suchfunktion nach Eingabe entsprechender Begriffe unter anderem zu Listen mit Passwörtern, Scheidungsvereinbarungen und Kreditkartenabrechnungen. Auch Unterlagen mit den in den USA so wichtigen Sozialversicherungsnummern sowie mit Kfz-Kennzeichen, Geburtsdaten, Telefonnummern und Post- und E-Mail-Adressen konnten gefunden werden.
Am Sonntagmittag war die Suchfunktion in Deutschland noch erreichbar. Zum englischen Wort für “Scheidung” lieferte sie unter anderem eine Sorgerechtsvereinbarung sowie “Beweismittel” aus dem Scheidungsverfahren eines US-Abgeordneten und ehemaligen Mitarbeiters des Secret Service. Diese waren einem Zeitungsartikel aus dem Jahr 2014 zufolge von einem Richter im Rahmen des Scheidungsverfahrens freigegeben worden.
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.
In mehreren, zum Teil inzwischen gelöschten Tweets hatte am Samstag Twitter-Nutzer TinkerSec auf das Datenschutzproblem aufmerksam gemacht. Ihm zufolge wurde die Suchfunktion im Lauf der Nacht auf Montag reaktiviert. Eine Recherche Montagmorgen aus Deutschland heraus zeigte allerdings keine nennenswerten Unterschiede bei den Ergebnissen. Nach Eingabe von “Divorce” fand Docs.com die oben erwähnte detaillierte Sorgerechtsvereinbarung immer noch.
Letztlich sind natürlich die Nutzer dafür verantwortlich, die Upload-Einstellungen von ihnen genutzter Dienste zu kontrollieren. Allerdings sieht sich offenbar auch Microsoft in der Pflicht, hätte es sonst am Wochenende die Suchfunktion doch nicht zumindest vorübergehend abgeschaltet. Selbst wenn es Microsofts einziges Versäumnis ist, dass es Nutzer nicht deutlich genug darauf hinweist, dass Dokumente in der Grundeinstellung öffentlich sind, zeigt der Vorfall jedoch erneut die Risiken der allzu sorglosen Cloud-Nutzung auf.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Anfang des Jahres tauchten zum Beispiel bei Dropbox schon vor Jahren gelöschte Dateien und Ordner wieder in Benutzerkonten auf. Dropbox führte das Phänomen auf “inkonsistente Metadaten” zurück. Dadurch seien von Nutzern gelöschte Dateien nicht auch tatsächlich vernichtet wurden. Und bereits vor Jahren war es bei diversen Cloud-Speicherdiensten aufgrund inzwischen behobener Implementierungsfehler möglich, sich mit einer fremden E-Mail-Adresse zu registrieren und dann unter falschem Namen zum Beispiel Schadsoftware zu verteilen oder andere, seriöse Nutzer auszuspionieren, indem sie dazu gebracht wurden, vertrauliche Daten für den gemeinsamen Zugriff in die Cloud hochzuladen.