«Предупреждение. Публикация календаря сделает все события видимыми для всех, в том числе с помощью поиска Google. Вы уверены?»
Помните это предупреждение о безопасности? Нет?
На момент написания этой статьи насчитывалось более 8000 общедоступных календарей Google, доступных для поиска с помощью самого движка Google, что позволяет любому человеку не только получать доступ к конфиденциальным данным, сохраненным в них, но и добавлять новые события со злонамеренно созданной информацией или ссылками, рассказал исследователь безопасности Avinash Jain.
Авинаш Джейн , исследователь безопасности из Индии, работает в компании Grofers, которая ранее обнаружила уязвимости в других платформах, таких как NASA, Google, Jira и Yahoo.
«Мне удалось получить доступ к общедоступным календарям различных организаций, в которые просочились конфиденциальные данные, такие как их идентификаторы электронной почты, названия событий, сведения о событиях, местоположение, ссылки на встречи, ссылки на видеовстречу в Google, внутренние ссылки на презентации и многое другое», — Авинаш поделился с The Hacker News.
Но так как это запланированное поведение Службы Календаря, которая становится удобной возможностью сотрудничать с людьми, делая Календарь общедоступным, нельзя напрямую обвинять Google в раскрытых данных.
Хотя это скорее заданная пользователем настройка и предполагаемое поведение службы, но главная проблема здесь заключается в том, что любой может просматривать любой общедоступный календарь, добавлять в него все, что угодно — просто с помощью одного поискового запроса, не разделяя ссылку на календарь.
Кроме того, проблема на самом деле не нова, вместо этого она впервые была озвучена 12 лет назад, когда Google добавила эту функцию «сделать общедоступной» в свой веб-сервис календаря, чтобы предоставить пользователям возможность находить интересные события в поисковых системах, но после нескольких быстрых поисков была обнаружена конфиденциальная корпоративная информация, которая случайно была опубликована с помощью Календаря Google.
По словам исследователя, поскольку Google не уведомляет создателя общедоступного Календаря о том, что кто-то обращается к нему или добавляет к нему событие, пользователям становится сложнее узнать, не раскрывают ли они информацию непреднамеренно и даже открыты ли они для спамеров и фишеров.
Кроме того, в интерфейсе Календаря нет графической индикации, откуда пользователи могут получить подсказку о том, что они сделали этот Календарь общедоступным, и должны прекратить добавлять в него личные события.
С помощью расширенного поискового запроса Google (Google Dork) можно в течение нескольких секунд перечислить все общедоступные календари и получить доступ к любой информации, включая конфиденциальные корпоративные данные, принадлежащие некоторым организациям.
Несколько месяцев назад Kaspersky также обнаружила мошенников, злоупотребляющих службой Google Calendar, чтобы атаковать пользователей с помощью кражи учетных данных, когда фишеры отправляли жертвам электронное письмо с созданным приглашением на мероприятие со вредоносными ссылками.
В случае, если пользователь хочет поделиться Календарем с кем-то в частном порядке, Google также позволяет пользователям приглашать определенных пользователей, добавляя их адреса электронной почты в настройках Календаря, вместо того, чтобы делать их доступными для всех.
