Google – Mii de calendare Google posibil să furnizeze informații private în mediul online

Google – Mii de calendare Google posibil să furnizeze informații private în mediul online

Îți aduci aminte de avertismentul de securitate prin care ești înștiințat că acceptul privind publicarea calendarului Google face ca toate evenimentele să fie vizibile de oricine și oriunde, inclusiv prin Google Search? Dacă ai partajat vreodată calendarele tale Google în online sau, poate, din neatenție cu cineva cu care nu ar fi trebuit, este indicat să te întorci imediat la setările Google și să verifici dacă evenimentele sau activitățile tale sunt actualmente expuse pe Internet (și posibil accesibile de oricine, oricând).

Potrivit cercetătorului de securitate Avinash Jain, astăzi există peste 8.000 de calendare Google accesibile publicului, calendare care pot fi căutate folosind doar motorul de căutare Google. Acest lucru permite oricui nu doar să acceseze detaliile sensibile salvate în conținutul lor, ci și să suporte modificări noi privind evenimente, informații sau link-uri cu conținut malware special introduse.

Același cercetător în domeniul securității, Avinash Jain, în calitate de parte a companiei de comerț electronic Grofers, a identificat anterior o serie de alte vulnerabilități pe platforme precum NASA, Google, Jira și Yahoo. În cazul identificării problemei la calendarul Google, cercetătorul a putut accesa, în mod public, calendarele publice ale diferitelor organizații care dețin date sensibile, cum ar fi id-uri de e-mail, numele anumitor evenimente, detalii referitoare la acestea, precum și locația, link-uri aferente întâlnirilor, link-uri de tip HangOut, link-uri aferente prezentărilor interne și multe alte lucruri.

Dat fiind faptul că unul dintre obiectivele intenționate ale serviciului Google Calendar este de a facilita colaborarea cu alte persoane prin partajarea acestuia (și, implicit, făcându-l public), compania Google nu poate fi pe deplin învinuită pentru datele expuse.
Cu toate că aceasta este, mai degrabă, o setare realizată manual de utilizatori, problema principală în acest caz fiind că oricine poate vedea calendarul public al oricărei alte persoane și chiar să adauge lucruri în el – doar printr-o singură interogare de căutare, fără nici măcar ca link-ul de calendar să fie partajat. De asemenea, problema nu este cu adevărat nouă, dat fiind faptul că aceasta a fost pentru prima oară ridicată în urmă cu 12 ani. La acel moment, Google a adăugat opțiunea de a face calendarul public la serviciul său de calendar bazat pe web, folosit atunci drept o modalitate interesantă de a descoperi evenimente captivante prin motoare de căutare, însă câteva căutări rapide au scos la iveală informații sensibile din interiorul corporațiilor făcute publice într-o modalitate neatentă, folosind Google Calendar.

Potrivit afirmațiilor lui Avinash Jain, dat fiind faptul că Google nu notifică inițiatorul calendarului de posibilitatea ca altcineva să îl acceseze, modifice sau să adauge lucruri noi la el, această funcție ridică o altă întrebare pentru utilizatori – respectiv dacă aceștia expun public, în mod neintenționat, informații care ulterior sunt deschise mesajelor tip spam sau cele aferente metodelor de phishing.
În afară de acest lucru, nu există niciun indiciu grafic pe interfața calendarului Google în urma căruia utilizatorii pot vedea dacă l-au făcut, cumva, public – motiv pentru care nu ar trebui să mai adauge evenimente personale în conținutul lui.

Folosind o interogare avansată de căutare Google (Google Dork), pot fi ușor și rapid enumerate toate calendarele disponibile public în doar câteva secunde, alături de informațiile regăsite în conținutul lor, inclusiv date sensibile privind corporațiile.
Diverse calendare ce au aparținut multora dintre angajații de top ai primelor 500 de companii regăsite în Alexa au fost făcute publice, în mod neintenționat, chiar de către aceștia.

În urmă cu câteva luni, firma de securitate cibernetică Kaspersky a descoperit o serie de escroci meniți să abuzeze de serviciul Google Calendar pentru a targeta utilizatori pe care să îi utilizeze în cadrul unor atacuri de obținere a credențialelor, în care victimele urmau să primească e-mailuri ce conțineau un eveniment special elaborat ce conțineau link-uri cu conținut malware.
În cazul în care un utilizator ar fi vrut să partajeze un calendar Google cu cineva în mod privat, Google ar fi permis utilizatorilor să invite utilizatori specifici în urma adăugării adreselor lor de e-mail prin accesarea setărilor din cadrul calendarului, în loc să le facă accesibile publicului.

Astfel, o asemenea vulnerabilitate are efecte nu doar pe plan personal (expunerea publică a calendarului Google cu o terță persoană neautorizată), ci și pe plan profesional. Obținerea de către un atacator cibernetic a credențialelor de acces în direcția unui computer din interiorul unei companii este unul dintre obiectivele principale ale acestora. În cel mai scurt timp, conținutul malware poate fi diseminat din departament în departament – iar pagubele pot ajunge extrem de ușor la nivelul milioanelor de euro.
Remedierea acestei probleme va crește instant nivelul de protejare a intimității și confidențialității utilizatorului, în cel mai scurt timp – însă întrebarea care se adresează acum este dacă aceasta este responsabilitatea directă a companiei Google – sau întocmai a utilizatorului.

Suna acum!