Microsoft kämpft mit Datenschutzproblemen bei Docs.com

SicherheitSicherheitsmanagement

Über die Suchfunktion auf der Sharing-Site für Office-Dokumente konnten Unbefugte auf zahlreiche vertrauliche Dokumente zugreifen, darunter auch Kreditkartenabrechnungen, Passwortlisten und Scheidungsvereinbarungen. Microsoft schaltete die Suchfunktion daraufhin vorübergehend ab. Nutzer sollen ihre Upload-Einstellungen überprüfen.

Über die Suchfunktion von Microsofts Dokumenten-Sharing-Site Docs.com konnten Unbefugte zahlreiche Dokumente finden, die persönliche und vertrauliche Informationen enthalten. Microsoft hatte die Suchfunktion nach Hinweisen von Nutzern daher am Wochenende zumindest teilweise vorübergehend abgeschaltet. Anscheinend handelt es sich aber nicht um eine klassische Sicherheitslücke, sondern eher um ein Konfigurationsproblem. Nutzer hatten wohl Dateien hochgeladen und dabei nicht beachtet, dass bei Docs.com in den Standardeinstellungen alle Inhalte öffentlich zugänglich sind.

Ein Microsoft-Sprecher teilte auf Nachfrage von ZDNet USA mit, man habe “Schritte eingeleitet, um denjenigen zu helfen, die unbeabsichtigt Dokumente mit vertraulichen Informationen veröffentlicht haben”. Nutzern empfahl er, ihre Upload-Einstellungen bei Docs.com zu überprüfen.

Docs.com (Grafik: Microsoft)
Microsoft kämpft mit Datenschutzproblemen bei seinem Cloud-Dienst Docs.com (Grafik: Microsoft)

Unklar ist, ob und wenn ja welche Maßnahmen Microsoft ergriffen hat, um das Auffinden der unbeabsichtigt veröffentlichten Dokumente zu verhindern, solange die Betroffenen die Upload-Einstellungen noch nicht angepasst haben. Kreditkartenabrechnungen fanden sich heute Morgen zumindest nicht mehr. Bei einer Datei, deren Überschrift nahelegt, dass es sich um eine Abrechnung handelt, wurde eine Fehlermeldung angezeigt: Sie könne nur noch in Word Online angezeigt werden. Dadurch ist sie nicht öffentlich verfügbar.

Recherchen von ZDNet USA zufolge führte die Suchfunktion nach Eingabe entsprechender Begriffe unter anderem zu Listen mit Passwörtern, Scheidungsvereinbarungen und Kreditkartenabrechnungen. Auch Unterlagen mit den in den USA so wichtigen Sozialversicherungsnummern sowie mit Kfz-Kennzeichen, Geburtsdaten, Telefonnummern und Post- und E-Mail-Adressen konnten gefunden werden.

Am Sonntagmittag war die Suchfunktion in Deutschland noch erreichbar. Zum englischen Wort für “Scheidung” lieferte sie unter anderem eine Sorgerechtsvereinbarung sowie “Beweismittel” aus dem Scheidungsverfahren eines US-Abgeordneten und ehemaligen Mitarbeiters des Secret Service. Diese waren einem Zeitungsartikel aus dem Jahr 2014 zufolge von einem Richter im Rahmen des Scheidungsverfahrens freigegeben worden.

Ausgewähltes Whitepaper

Cloud-Angebote rechtssicher auswählen

Entscheider und Geschäftsführer benötigen bei der Auswahl eines Cloud- oder Rechenzentrumsbetreibers fundierte Informationen zur aktuellen Rechtslage beim Datenaustausch zwischen EU und USA, den rechtlichen Risiken und den Tendenzen in der Rechtsprechung. In diesem Whitepaper erhalten Sie alle Informationen, die erforderlich sind, um Haftungsrisiken für das Management zu vermeiden und Sorgfaltspflichten einzuhalten.

In mehreren, zum Teil inzwischen gelöschten Tweets hatte am Samstag Twitter-Nutzer TinkerSec auf das Datenschutzproblem aufmerksam gemacht. Ihm zufolge wurde die Suchfunktion im Lauf der Nacht auf Montag reaktiviert. Eine Recherche Montagmorgen aus Deutschland heraus zeigte allerdings keine nennenswerten Unterschiede bei den Ergebnissen. Nach Eingabe von “Divorce” fand Docs.com die oben erwähnte detaillierte Sorgerechtsvereinbarung immer noch.

Letztlich sind natürlich die Nutzer dafür verantwortlich, die Upload-Einstellungen von ihnen genutzter Dienste zu kontrollieren. Allerdings sieht sich offenbar auch Microsoft in der Pflicht, hätte es sonst am Wochenende die Suchfunktion doch nicht zumindest vorübergehend abgeschaltet. Selbst wenn es Microsofts einziges Versäumnis ist, dass es Nutzer nicht deutlich genug darauf hinweist, dass Dokumente in der Grundeinstellung öffentlich sind, zeigt der Vorfall jedoch erneut die Risiken der allzu sorglosen Cloud-Nutzung auf.

Ausgewähltes Whitepaper

Anbieter von IoT-Plattformen im Vergleich

Die Frage nach der passenden IoT-Plattform ist angesichts der Vielzahl der Anbieter nur schwer zu beantworten. Der jetzt von Forrester Research vorgelegte Bericht "The Forrester Wave™ zu IoT-Softwareplattformen" hilft, sich einen Überblick über die aktuelle Marktlage zu verschaffen und den richtigen Ansatz auszuwählen.

Anfang des Jahres tauchten zum Beispiel bei Dropbox schon vor Jahren gelöschte Dateien und Ordner wieder in Benutzerkonten auf. Dropbox führte das Phänomen auf “inkonsistente Metadaten” zurück. Dadurch seien von Nutzern gelöschte Dateien nicht auch tatsächlich vernichtet wurden. Und bereits vor Jahren war es bei diversen Cloud-Speicherdiensten aufgrund inzwischen behobener Implementierungsfehler möglich, sich mit einer fremden E-Mail-Adresse zu registrieren und dann unter falschem Namen zum Beispiel Schadsoftware zu verteilen oder andere, seriöse Nutzer auszuspionieren, indem sie dazu gebracht wurden, vertrauliche Daten für den gemeinsamen Zugriff in die Cloud hochzuladen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen