google-calendar-search.jpg

  警告 - 将您的日历公开将使所有活动都可见,包括通过Google搜索。您确定吗?

  记得这个安全警告吗?没有?

  如果您曾经分享过您的Google日历,或者无意中与不再可以公开访问的人共享,您应该立即返回到您的Google设置,并检查您是否在互联网上公开您可以访问的所有活动和商业活动任何人。
在撰写本文时,有超过8000个可公开访问的Google日历,可以使用Google引擎本身进行搜索,允许任何人不仅可以访问保存给他们的敏感信息,还可以使用恶意制作的信息或链接添加新事件,安全研究员Avinash Jain告诉我们。

  Avinash Jain,一名来自印度的安全研究员,曾在一家电子商务公司Grofers工作,此前他曾在NASA,谷歌,Jira和雅虎等其他平台上发现过漏洞。

  “我能够访问各种组织的公共日历,泄露敏感信息,如电子邮件ID,活动名称,活动详情,位置,会议链接,缩放会议链接,谷歌环聊链接,内部演示链接等等,”Avinash说在与黑客新闻独家分享的帖子中。

  好吧,因为日历服务的预期行为是一个方便的功能,通过公开日历与人们协作,人们不能直接责怪谷歌暴露的数据。

google-calendar.jpg

public-google-calendar.jpg

  “虽然这更像是用户的预期设置和服务的预期行为,但这里的主要问题是任何人都可以查看任何公共日历,只需通过一个搜索查询添加任何内容,而无需共享日历链接, “阿维纳什说。
此外,问题实际上并不新鲜,而是12年前首次提出这一问题,当时谷歌将这种“公开”功能添加到其基于网络的日历服务中,作为用户通过搜索引擎发现令人兴奋的事件的一种很酷的方式,但是一些快速搜索显示使用Google日历无意中公开的敏感公司信息。

  正如研究人员所说,由于当有人访问公共日历或向其添加事件时谷歌不通知公共日历的创建者,该功能使用户更难以知道他们是否无意中暴露了信息,甚至对垃圾邮件发送者和网络钓鱼者。
除此之外,日历界面上也没有图形指示,用户可以从中获得提示他们已将该日历公开并且应该停止向其添加个人事件。

  使用高级Google搜索查询(Google Dork),可以在几秒钟内列出所有公开的日历并访问每个信息,包括属于某些组织的敏感公司数据,如Avinash共享的屏幕截图所示。

  “各种日历也属于Alexa公司500强员工中的许多员工,有意/无意地由员工自己公开,”Avinash警告说。

  几个月前,安全公司卡巴斯基还发现诈骗者滥用谷歌日历服务,目标用户使用凭证窃取攻击,网络钓鱼者向受害者发送包含带有恶意链接的精心设计的活动邀请的电子邮件。

  如果用户想要私下与某人共享日历,Google还允许用户通过在日历设置下添加其电子邮件地址来邀请特定用户,而不是让公众可以访问这些用户。
转载自黑客新闻