Uitsluitlik: duisende Google-kalenders lek uit private aanlyninligting

Uitsluitlik: duisende Google-kalenders lek uit private aanlyninligting

“Waarskuwing – om die kalender openbaar te maak, sal alle gebeure vir die hele wêreld sigbaar maak, ook via Google-soektog. Is jy seker?”

Onthou u hierdie veiligheidswaarskuwing? Geen

As u al ooit u Google-kalenders, of per ongeluk, aan iemand gedeel het wat nie meer in die openbaar beskikbaar moet wees nie, moet u dadelik teruggaan na Google-instellings en kyk of u al die geleenthede en besigheidsaktiwiteite op die internet vir almal toeganklik deel

Daar is tans meer as 8 000 Google-kalenders wat in die openbaar beskikbaar is, met die Google-enjin wat deurgesoek kan word, wat almal nie net toegang gee tot vertroulike besonderhede wat daarin gestoor is nie, maar ook om nuwe gebeure met kwaadwillige inligting of skakels by te voeg, het die navorser gesê Avinash Jain-sekuriteitshacker-boodskappe

Avinash Jain, ‘n veiligheidsnavorser uit Indië wat by die e-handelsonderneming Grofers werk, wat voorheen kwesbaarhede op ander platforms soos NASA, Google, Jira en Yahoo ontdek het.

“Ek kon toegang kry tot openbare agenda’s van verskillende organisasies wat vertroulike gegewens openbaar, soos e-pos-ID’s, gebeurtenisnaam, gebeurtenisbesonderhede, ligging, vergaderingskakels, zoom-skakels vir vergaderings, Google Hangout-skakels, interne aanbiedingsskakels en veel meer, ”sê Avinash in ‘n boodskap wat eksklusief vir The Hacker News gedeel is.

Omdat dit die opsetlike gedrag van die kalenderdiens is, wat ‘n nuttige funksie is waarmee u met mense kan saamwerk deur u kalender openbaar te maak, kan u Google nie direk blameer vir die inligting wat u openbaar nie.
openbare Google-kalender

openbare Google-kalender

“Alhoewel dit ‘n meer opsetlike gebruikerinstelling en beoogde diensgedrag is, maar die grootste probleem is dat iemand enige openbare kalender kan sien, iets daaraan kan voeg – al wat nodig is, is een soeknavraag sonder om ‘n kalenderskakel te deel,” sê Avinash.

Boonop is die probleem nie juis nuut nie, maar dit is 12 jaar gelede geopper toe Google hierdie ‘publisiteit’-funksie by sy aanlyn kalenderdiens voeg, sodat gebruikers opwindende gebeure deur soekenjins kan ontdek, maar ‘n paar vinnige soektogte het vertroulike inligting oor die maatskappy geopenbaar wat is per ongeluk openbaar gemaak met behulp van Google Kalender.

Volgens die navorser, omdat Google die skepper van ‘n openbare kalender nie in kennis stel wanneer iemand toegang tot ‘n gebeurtenis het of daarby voeg nie, maak die funksie dit vir gebruikers moeilik om te bepaal of hulle onbewustelik inligting bekend maak, en selfs beskikbaar is vir spammers en phishers.

Daarbenewens is daar geen grafiese aanduiding in die kalender-koppelvlak nie, waaruit gebruikers ‘n wenk kan kry dat hulle hierdie kalender publiek gestel het en moet ophou om persoonlike gebeure daaraan toe te voeg.

Met behulp van die gevorderde Google-navraag (Google Dork), kan u binne ‘n paar sekondes ‘n lys van alle openbaar beskikbare kalenders sien en toegang tot alle inligting, insluitend vertroulike maatskappygegevens wat aan sommige organisasies behoort, soos aangetoon in die skermkiekies wat deur Avinash voorsien is.

“Verskeie kalenders behoort ook aan baie van Alexa se top 500 werknemers wat opsetlik / onbedoeld deur werknemers self bekend gemaak is,” waarsku Avinash.

‘N Paar maande gelede het Kaspersky-sekuriteit ook bedrieërs ontdek wat die Google Kalender-dienste misbruik om gebruikers met diefstal van geloofsbriewe aan te val, waarin phishers slagoffers e-posse gestuur het met ‘n uitnodiging na ‘n gebeurtenis met kwaadwillige skakels.

As ‘n gebruiker die Kalender privaat met iemand wil deel, stel Google gebruikers ook in staat om spesifieke gebruikers te nooi deur hul e-posadresse by te voeg in die Kalender-instellings, in plaas daarvan om dit publiek te deel.