Тысячи Google Календарей раскрывают конфиденциальную информацию

Тысячи Google Календарей раскрывают конфиденциальную информацию

Пользователи сервиса Google Календарь часто делают свои записи доступными третьим сторонам, не задумываясь, что таким образом любой желающий может получить доступ к их конфиденциальной информации, в том числе к запланированным встречам, событиям и мероприятиям.

По словам исследователя безопасности компании Grofers Авинаша Джайна (Avinash Jain), ему удалось получить доступ к 8 тыс. чужих календарей с помощью одного лишь поисковика Google. Исследователь мог не только просматривать запланированные события, но также делать новые записи, в том числе содержащие поддельную информацию и вредоносные ссылки.

«Я мог получить доступ к открытым календарям различных организаций, раскрывающим конфиденциальную информацию, такую как идентификаторы электронных адресов, названия мероприятий, подробности о мероприятиях, места проведения, ссылки на встречи, ссылки на встречи в Zoom, ссылки на Google Hangouts, ссылки на внутренние презентации и прочее», - сообщил Джайн.

Возможность делать календарь открытым с целью предоставления доступа к нему другим пользователям является предусмотренной, весьма удобной функцией, и в том, что исследователь смог получить доступ к чужой конфиденциальной информации, вины Google нет. Скорее, здесь налицо недочет со стороны компании, не позаботившейся о том, чтобы предупредить пользователей о возможных рисках, считает исследователь. Кроме того, в интерфейсе календаря отсутствует какой-либо индикатор, указывающий на доступность данных всем желающим.

С помощью особых поисковых запросов (Google Dork) можно за считанные секунды создать список всех открытых календарей и получить доступ к конфиденциальной информации, в том числе компаний из топ-500 Alexa.

Напомним, не так давно «Лаборатория Касперского» предупредила пользователей Google Календаря об участившихся атаках спамеров. Поскольку сервис позволяет любому назначать встречу пользователю, о чем ему приходит соответствующее уведомление, мошенники массово ринулись назначать встречи. Текст спам-сообщения они добавляют в поля «Тема мероприятия» и «Где». Как правило, это поддельные уведомления о выигрыше или денежном вознаграждении, содержащие вредоносную ссылку.
18.09.2019

Возврат к списку

КЛИЕНТЫ КОМПАНИИ

Asia
Аеропорт
Волковгеология
AirAstana
Метрополитен
Astel
ЭФКО,
Сентрас Иншуранс
Международный аэропорт Астана
Международный аэропорт Алматы
Bericap Kazakhstan
Метрополитен
Казросгаз
КазМунайГаз
Alina Management
KazConstruction Group
Самрук-Энерго, АО
Amanat Insurance
Nomad Life
KMF