Το περιεχόμενο του Google Calendar χιλιάδων χρηστών βρίσκεται αυτή τη στιγμή εκτεθειμένο στο διαδίκτυο. Μια ρύθμιση του Calendar επιτρέπει σε όλους τους χρήστες του Internet να αποκτήσουν πρόσβαση σε πληροφορίες, όπως διευθύνσεις email και άλλα προσωπικά δεδομένα, που βρίσκονται αποθηκευμένα στο Calendar.
Αυτή η ρύθμιση, ουσιαστικά, επιτρέπει την κοινή χρήση του περιεχομένου του Calendar με τους άλλους. Αυτό σημαίνει ότι όποιος έχει το link του Calendar σας, θα μπορεί να έχει πρόσβαση σε αυτό.
Η Google εμφανίζει μια προειδοποίηση στις οθόνες. Ωστόσο, πολλοί χρήστες αλλά και επιχειρήσεις την αγνοούν εκθέτοντας σημαντικά δεδομένα σε κίνδυνο, αφού ο καθένας μπορεί να αποκτήσει πρόσβαση σε αυτά με μια απλή αναζήτηση.
Ένας ερευνητής ασφαλείας από την Ινδία, ο Avinash Jain, ανακάλυψε ότι η χρήση προηγμένων παραμέτρων αναζήτησης (dorks) μπορεί να δώσει πρόσβαση σε πληροφορίες, όπως συναντήσεις, συνεντεύξεις, εκδηλώσεις, εσωτερικές πληροφορίες και τοποθεσίες ορισμένων εταιρειών.
Ο ερευνητής ανακάλυψε πάνω από 200 Calendars, που εξέθεταν σημαντικές πληροφορίες.
Η εύρεση των εκτεθειμένων Calendars είναι πολύ εύκολη, σύμφωνα με τον ερευνητή. Μια γενική αναζήτηση στη Google είναι αρκετή (inurl:https://calendar.google.com/calendar?cid=).
Με αυτή την απλή αναζήτηση, η Google βρήκε πάνω από 7.000 αποτελέσματα. Ωστόσο, δεν έχουν όλα τα εκτεθειμένα calendars πληροφορίες. Κάποια είναι άδεια. Θα έπρεπε να ψαχτούν ένα ένα για να εντοπιστούν αυτά που έχουν σημαντικό περιεχόμενο.
Ο ερευνητής κατάφερε να αποκτήσει πρόσβαση σε έναν τεράστιο αριθμό προσωπικών δεδομένων, που ανήκαν σε γιατρούς, απλούς χρήστες και οργανισμούς.
Όταν εκτίθενται τα δεδομένα μιας εταιρείας, ο κίνδυνος είναι ακόμα μεγαλύτερος. Οι ανταγωνιστές θα μπορούσαν να χρησιμοποιήσουν τις πληροφορίες αυτές. Το χειρότερο σενάριο, όμως, είναι η χρήση τους από εγκληματίες του κυβερνοχώρου, οι οποίοι θα μπορούσαν να αξιοποιήσουν τα δεδομένα για την πραγματοποίηση επίθεσης.
Ο ερευνητής δήλωσε ότι επικοινώνησε με τη Google και την ενημέρωσε για το ζήτημα, αλλά η εταιρεία απάντησε ότι το συγκεκριμένο προϊόν λειτουργεί με αυτόν τον τρόπο και ότι οι χρήστες αποφασίζουν αν θα προστατεύσουν τα δεδομένα τους ή όχι. Άλλωστε η Google τους εμφανίζει την προειδοποίηση.
Μια εταιρεία, ωστόσο, της οποίας το Calendar ήταν εκτεθειμένο, αντάμειψε τον Avinash Jain για την ανακάλυψή του.
Ωστόσο, κάποιοι χρήστες βρίσκουν χρήσιμη τη ρύθμιση που επιτρέπει την κοινή χρήση του περιεχομένου του Calendar, γιατί πρέπει να γνωστοποιούν το πρόγραμμά τους σε άλλους και αυτός είναι ένας εύκολος τρόπος να το κάνουν.
Μια λύση θα ήταν η ρύθμιση του Calendar με τέτοιο τρόπο, ώστε να μοιράζεται ελάχιστες πληροφορίες σχετικά με το πρόγραμμα, αυτές που είναι απαραίτητες (όπως το αν είστε απασχολημένοι ή διαθέσιμοι).
Η Google παρέχει έναν εύκολο οδηγό, που δείχνει πώς μπορεί να γίνει η διαχείριση των επιλογών κοινής χρήσης.
