2360805

Sicherheitspanne: Private Google-Docs in Suchmaschinen sichtbar

05.07.2018 | 13:30 Uhr | Halyna Kubiv

Mehrere Stunden lang konnten die Nutzer über Suchmaschinen Yandex und Bing privat geglaubte Google Docs Unterlagen einsehen.

Gestern Abend ist es mehreren Nutzern gelungen, Google Docs mit beschränkten Zugriff zu öffnen, zu lesen und gar zu verändern, ohne wohl dass die Inhaber dies ausdrücklich erlaubten oder wollten. Dies wurde mittels einer einfachen Suche in einer alternativen Suchmaschine wie Yandex möglich. Beschränkte man auf Yandex.ru die Parameter nur auf eine bestimmte Seite, nämlich docs.google.com und fügte beliebige Suchwörter dazu, lieferte die Suchmaschine genügend passende Treffer. Darüber berichteten vor allem russische Webseiten , aber auch Nutzer auf Twitter und Reddit .

Auf beiden Plattformen wurden mehrere Beispiele von unterschiedlich geschützten Dokumenten gepostet, auf manche von ihnen steht bis jetzt der Zugang frei, obwohl der Dokumenten-Inhaber dies wohl nicht beabsichtigt hat. Mittlerweile hat der Verantwortliche bei Yandex den Vorfall kommentiert : Die Suchtreffer auf die nicht öffentlichen Dokumente der Google-Docks-Plattform sind nicht mehr über die einfache Suche auffindbar, man habe auch Google zum Vorfall kontaktiert und das Problem geschildert. Grundsätzlich aber indexiere Yandex alle Dokumente, die in ihren Metadaten dies erlauben und die nicht mit Login und Passwort geschützt sind.

An sich ist die Indexierung der Google-Dokumente nicht weiter schlimm, erlaubt doch der Entwickler bei den eigenen Dokumenten eine Freigabe für alle: Ist beim Teilen-Button ein Erdkugel-Icon zu sehen, kann das Dokument von allen Nutzern gefunden und eingesehen werden, dies steht auch im Beschreibungstext als Erklärung. Das Problem war wohl die nächste Stufe der Beschränkung: Man kann in Google Docs einen Link auf das neue Dokument erstellen und mit betroffenen Personen teilen, diese konnten dann je nach Berechtigung die Unterlagen einsehen oder verändern.

Bei dieser Einstellung ging man wohl davon aus, dass nur ein beschränkter Kreis der Personen diesen Teilen-Link kennt, beinhaltet doch die Webadresse auf das Dokument eine alphanumerische Folge mit 44 Zeichen, die zu erraten einfach unmöglich ist. Ist jedoch das Dokument bei einer Suchmaschine indexiert, braucht ein Dritter diesen Link gar nicht zu erraten, sondern nur noch nach Schlüsselwörtern zu suchen. Die Suchmaschine wie Yandex liefert alle verfügbaren Treffer, auch auf die Dokumente, die per Link geteilt werden und nicht für alle gedacht sind. Klickt der Suchende auf den Treffer, hat er gewissermaßen diesen "geheimen" Link und kann auf die Dokumente zugreifen.

Das Dokument ist nicht öffentlich, wir (und mehrere andere) können trotzdem darauf zugreifen.
Vergrößern Das Dokument ist nicht öffentlich, wir (und mehrere andere) können trotzdem darauf zugreifen.

Macwelt Marktplatz

2360805