Tehnografi.com - Технологические новости, обзоры и советы

Тысячи календарей Google, возможно, утечка личной информации в Интернете


«Предупреждение. Публикация календаря сделает все события видимыми для мира, в том числе с помощью поиска Google. Вы уверены?»

Помните это предупреждение о безопасности? Нет?

Если вы когда-либо передавали свои календари Google или, возможно, случайно, кому-то, кто больше не должен быть общедоступным, вы должны немедленно вернуться к настройкам Google и проверить, выставляете ли вы все свои события и деловые действия в Интернете, доступные для кто-нибудь.

На момент написания этой статьи насчитывалось более 8000 общедоступных календарей Google, доступных для поиска с помощью самого движка Google, которые позволяют любому человеку не только получать доступ к конфиденциальным данным, сохраненным в них, но и добавлять новые события со злонамеренно созданной информацией или ссылками, рассказал исследователь безопасности Avinash Jain Хакерские новости

Авинаш Джейн, исследователь безопасности из Индии, работающий в электронной коммерции, компании Grofers, которая ранее обнаружила уязвимости в других платформах, таких как NASA, Google, Jira и Yahoo.

«Мне удалось получить доступ к общедоступным календарям различных организаций, в которых просочились конфиденциальные данные, такие как их идентификаторы электронной почты, названия событий, сведения о событиях, местоположение, ссылки на встречи, масштабированные ссылки на встречи, ссылки на видеовстречу в Google, внутренние ссылки на презентации и многое другое», – говорит Авинаш. в посте эксклюзивно поделился с The Hacker News

Ну, так как это запланированное поведение Службы Календаря, которая становится удобной возможностью сотрудничать с людьми, делая Календарь общедоступным, нельзя напрямую обвинять Google в раскрытых данных.
общедоступный календарь Google

общедоступный календарь Google

«Хотя это скорее заданная пользователем настройка и предполагаемое поведение службы, но главная проблема здесь заключается в том, что любой может просмотреть любой общедоступный календарь, добавить в него все, что угодно – просто с помощью одного поискового запроса, не разделяя ссылку на календарь, "Авинаш говорит.

Кроме того, проблема на самом деле не нова, вместо этого она впервые была озвучена 12 лет назад, когда Google добавила эту функцию «сделать ее общедоступной» в свой веб-сервис календаря, чтобы предоставить пользователям возможность находить интересные события в поисковых системах, но после нескольких быстрых поисков была обнаружена конфиденциальная корпоративная информация, которая случайно была опубликована с помощью Календаря Google.

По словам исследователя, поскольку Google не уведомляет создателя общедоступного Календаря о том, что кто-то обращается к нему или добавляет к нему событие, пользователям становится сложнее узнать, не раскрывают ли они информацию непреднамеренно и даже открыты ли они для спамеров и фишеры тоже.

Кроме того, в интерфейсе Календаря нет графической индикации, откуда пользователи могут получить подсказку о том, что они сделали этот Календарь общедоступным, и должны прекратить добавлять личные события в него.

С помощью расширенного поискового запроса Google (Google Dork) можно в течение нескольких секунд перечислить все общедоступные календари и получить доступ к любой информации, включая конфиденциальные корпоративные данные, принадлежащие некоторым организациям, как показано на снимках экрана, предоставленных Avinash.

«Различные календари принадлежали многим из 500 лучших сотрудников компании Alexa, которые преднамеренно / непреднамеренно были обнародованы самими сотрудниками», – предупреждает Авинаш.

Несколько месяцев назад охранная компания «Касперский» также обнаружила мошенников, злоупотребляющих службой Google Calendar, чтобы атаковать пользователей с помощью кражи учетных данных, когда фишеры отправляли жертвам электронное письмо с созданным приглашением на мероприятие со вредоносными ссылками.

В случае, если пользователь хочет поделиться Календарем с кем-то в частном порядке, Google также позволяет пользователям приглашать определенных пользователей, добавляя их адреса электронной почты в настройках Календаря, вместо того, чтобы делать их доступными для общественности.