Источник утечки - календарь

Пользователям сервиса Google Calendar следует позаботиться о защите конфиденциальности - предостерегает индийский исследователь проблем кибербезопасности Авинаш Джайн. В своем блоге он рассказал о том, как ошибки в настройках календаря Google могут привести к утечке данных, не предназначенных для посторонних глаз. Сервис Google Calendar предоставляет пользователям возможность делиться своим записями. Это весьма удобная функция, например, для подготовки коллективных проектов, организации встреч с большим числом участников и т.д. Но проблема в том, что открытые записи Google Calendar индексируются самим поисковиком, и чтобы обнаружить их, достаточно ввести специально сформулированный поисковый запрос (так называемый Google Dork Query или просто dork).

С помощью одного-единственного такого запроса Авинаш Джайн смог получить доступ более чем к 7 тысячам открытых календарей. Большая их часть не содержала каких-либо записей. Тем не менее, исследователь обнаружил более 200 календарей, в которых имелись явно конфиденциальные данные. В их числе оказались внутренние адреса электронной почты сотрудников крупных компаний, ссылки на внутренние презентации разрабатываемых проектов, описание мест и сроков проведения встреч. Как отмечает Джайн, эти данные могут легко быть использованы в неблаговидных целях как обычными киберпреступниками, так и конкурентами. Помимо этого, открытые календари дают возможность третьим лицам самим вносить новые записи. Это потенциально позволяет публиковать, например, вводящую в заблуждение информацию или вредоносные ссылки.

Представители Google отреагировали на публикацию классическим заявлением, которое на языке программистов звучит как «это не баг, это фича». Они подчеркнули, что по умолчанию доступ третьим сторонам к Google Calendar пользователей закрыт. И при изменении соответствующих настроек пользователь видит уведомление о том, что делает содержимое своего календаря доступным для посторонних. Таким образом, ответственность за возможные утечки лежит не на компании, а на самих пользователях. И, пожалуй, с этим трудно не согласиться.


Источник:  Bleepingcomputer

Возврат к списку