Тысячи Google Календарей раскрывают конфиденциальную информацию
Пользователи сервиса Google Календарь часто делают свои записи доступными третьим сторонам, не задумываясь, что таким образом любой желающий может получить доступ к их информации, в том числе к запланированным встречам, событиям и мероприятиям.
По словам исследователя безопасности компании Grofers Авинаша Джайна (Avinash Jain), ему удалось получить доступ к 8 тыс. чужих календарей с помощью одного лишь поисковика Google. Исследователь мог не только просматривать запланированные события, но также делать новые записи, в том числе содержащие поддельную информацию и вредоносные ссылки.
Я мог получить доступ к открытым календарям различных организаций, раскрывающим конфиденциальную информацию, такую как идентификаторы электронных адресов, названия мероприятий, подробности о мероприятиях, места проведения, ссылки на встречи, ссылки на встречи в Zoom, ссылки на Google Hangouts, ссылки на внутренние презентации и прочее, — сообщил Джайн.
Возможность делать календарь открытым с целью предоставления доступа к нему другим пользователям является предусмотренной, весьма удобной функцией, и в том, что исследователь смог получить доступ к чужой конфиденциальной информации, вины Google нет. Скорее, здесь налицо недочет со стороны компании, не позаботившейся о том, чтобы предупредить пользователей о возможных рисках, считает исследователь. Кроме того, в интерфейсе календаря отсутствует какой-либо индикатор, указывающий на доступность данных всем желающим.
С помощью особых поисковых запросов (Google Dork) можно за считанные секунды создать список всех открытых календарей и получить доступ к конфиденциальной информации, в том числе компаний из топ-500 Alexa.
Не так давно «Лаборатория Касперского» предупредила пользователей Google Календаря об участившихся атаках спамеров. Поскольку сервис позволяет любому назначать встречу пользователю, о чем ему приходит соответствующее уведомление, мошенники массово ринулись назначать встречи. Текст спам-сообщения они добавляют в поля «Тема мероприятия» и «Где». Как правило, это поддельные уведомления о выигрыше или денежном вознаграждении, содержащие вредоносную ссылку.