Специалист по безопасности Авинаш Джайн (Avinash Jain) обнаружил в свободном доступе тысячи календарей Google. Таким образом, любой пользователь может отслеживать частные и корпоративные мероприятия, читать конфиденциальные материалы из вложений к планируемым событиям.

Джайн сделал свое открытие, используя специальные поисковые запросы Google (так называемые Google Dorks). В частности, команда inurl:https://calendar.google.com/calendar?cid= открывает все общедоступные календари. На момент публикации их количество составляет около восьми тысяч.

Пользователи путаются в настройках Google

Виновниками такой ситуации оказались владельцы календарей, которые сами предоставляют свою информацию поисковику. Настройки Google позволяют им делиться расписанием с определенными пользователями, сделать его доступным по ссылке или же открыть для всех желающих.

При открытии публичного доступа на экране появляется уведомление о том, что данные появятся в результатах поиска Google и будут доступны всем желающим. Однако, по мнению Джайна, многие пользователи игнорируют это предупреждение или забывают о нем.

Что можно узнать из публичных календарей

Исследователь допускает, что многие календари могут быть открыты специально — например, чтобы встраивать их в сайты или предлагать интернет-пользователям для подписки. Однако во многих случаях они явно содержали конфиденциальную информацию. Среди таких материалов были ссылки на корпоративные мероприятия, внутренние презентации, данные о посещении врача и приватные встречи.

Джайн привел в пример исследователя, который смог найти календарь сотрудника компании Shopify, угадав его имя пользователя Google. В результате он получил доступ к информации о новом сотруднике организации, скачал их презентацию и сохранил ссылку на расписание встреч. Эксперт сообщил о проблеме компании, за что Shopify выплатила ему вознаграждение в размере $1500.

Рядовым пользователям также следует быть внимательными с правами доступа к своему расписанию. Например, список посещаемых мест может сыграть на руку мошенникам, а информация о планируемом путешествии позволит грабителям узнать, когда никого не будет дома.

Позиция Google

Разработчики Google заявили, что пользователи осознанно принимают решение о предоставлении общего доступа к своим календарям. Таким образом, возможность прочитать и подписаться на чужое расписание нельзя считать уязвимостью сервиса. Тем не менее, многие комментаторы указывают, что владельцы публичных календарей могут со временем забыть об открытом доступе.

Эксперты рекомендуют всем администраторам проверить установленный уровень приватности Google-календарей. Инструкции для этого процесса опубликованы на сайте поддержки. При необходимости пользователи могут скрыть детали мероприятий и оставить видимой лишь информацию о том, заняты они или свободны в определенный период времени.

Другие проблемы неправильных настроек

Это далеко не первый случай, когда ошибки организации доступа приводят к раскрытию приватной информации. Ранее крупные утечки случались из-за неверных настроек облачных контейнеров Amazon. В результате в Сети оказывались сведения пользователей Facebook, хостинговой компании GoDaddy, популярных блогеров Instagram, клиентов и водителей Uber. Масштаб проблемы подтолкнул Amazon к внедрению дополнительных средств безопасности, призванных помочь администраторам с контролем доступа к хранилищам.

Категории: Кибероборона