Auch Google schließt Datenleck im Cloud-Speicher
Wer Links in bei Google Drive abgelegten Dokumenten anklickt, hinterlässt Datenspuren. Durch diese können Dritte auf die Dokumente zugreifen.
- Ronald Eikenberg
Nach Dropbox und Microsoft hat nun auch Google eine Schwachstelle geschlossen, durch die unbefugte Dritte unter Umständen auf Cloud-Dateien der Nutzer zugreifen konnten. Das Problem trat nur in einer ganz bestimmten Konstellation auf: Nämlich dann, wenn Nutzer Office-Dateien hochgeladen hatten, die Links zu HTTPS-Sites enthalten. Außerdem musste die Freigabe-Einstellung auf "Jeder, der den Link besitzt" gesetzt sein.
Hat der Nutzer ein solches Dokument geöffnet und auf einen darin enthaltenen Link geklickt, konnte der Betreiber der Zielseite über den HTTP-Header (Referer) auf die URL des Dokuments schließen – und damit auch auf die Datei zugreifen. Google gibt an, dass die Lücke vertraulich über das Vulnerability Reward Program, ein Belohnungsprogramm für Finder von Sicherheitslücken, gemeldet wurde.
Duplizieren schützt vorm Spionieren
Um das Datenleck zu schließen, müssen auch die Nutzer aktiv werde, der neue Schutzmechanismus greift nämlich nur bei neuen Dokumenten. Bestehende Dateien kann man absichern, indem man mit einem Rechtsklick und "Kopie erstellen" ein Duplikat erstellt, das in puncto Zugriffsschutz dann dem aktuellen Stand der Dinge entspricht. (rei)