“Avviso: rendere pubblico il tuo calendario renderà visibili tutti gli eventi al mondo, anche tramite la ricerca di Google. Sei sicuro?“
Questo avviso di sicurezza ti dice qualcosa?
Se hai mai condiviso i tuoi calendari di Google, anche inavvertitamente, con qualcuno che non dovrebbe avere più avere accesso a queste informazioni, dovresti immediatamente verificare le impostazioni e controllare se stai esponendo tutti i tuoi eventi e attività commerciali online, rendendoli accessibili a chiunque.
Migliaia di Google Calendar pubblici e ricercabili online
Attualmente sono online oltre 8.000 calendari di Google totalmente accessibili al pubblico, ricercabili utilizzando lo stesso motore di Google, consentendo a chiunque non solo di accedere ai dettagli sensibili salvati su di essi, ma anche di aggiungere nuovi eventi con informazioni o collegamenti maliziosi, secondo il ricercatore di sicurezza Avinash Jain.
Avinash Jain, è un ricercatore di sicurezza indiano che lavora in una società di e-commerce, Grofers, che in precedenza aveva trovato vulnerabilità in altre piattaforme come NASA, Google, Jira e Yahoo.
“Sono stato in grado di accedere ai calendari pubblici di varie organizzazioni che espongono dati sensibili come gli ID,le e-mail, il nome di un futuro ‘evento, i dettagli dell’evento, la posizione, i collegamenti alle riunioni, i collegamenti agli hangout di Google, i collegamenti interni delle presentazioni e molto altro“, afferma Avinash in un post condiviso esclusivamente con il sito The Hacker News.
Ti sta piacendo l’articolo? Iscriviti alla newsletter di Noi Sicurezza per ricevere altri consigli interessanti sulla sicurezza! (promettiamo di non essere troppo invadenti 😉 Buona continuazione di lettura!
[wysija_form id=”1″]
Colpa di Google? Più degli utenti poco attenti!
Dal momento che la condivisione dei calendari è una funzionalità (o meglio, opzione) prevista da Google, utile per collaborare con le persone rendendo pubblico un calendario, non si può incolpare direttamente Google per i dati esposti.
Ma anche Google…
“Anche se si tratta più di un’impostazione prevista e nota agli utenti, il problema principale tuttavia è che chiunque può visualizzare il calendario pubblico di chiunque, aggiungere qualsiasi elemento al suo interno, semplicemente con una singola query di ricerca su Google, senza essere in possesso del link del calendario“, sottolinea Avinash.
Il problema non è propriamente nuovo, è stato sollevato per la prima volta 12 anni fa quando Google ha aggiunto la funzione “rendi pubblico” al suo Google Calendar. Con un intento iniziale lodevole, cioè quello di permettere agli utenti di scoprire eventi interessanti attraverso i motori di ricerca. L’effetto collaterale è però stato rendere inavvertitamente disponibili informazioni aziendali sensibili.
Google Calendar pubblico: pochi indizi per capire
Come afferma il ricercatore, poiché Google non notifica al creatore di un calendario pubblico quando qualcuno accede ad esso o aggiunge un evento ad esso, la funzione rende più difficile per gli utenti sapere se stanno esponendo informazioni involontariamente e sono persino aperte agli spammer o a phisher.
Inoltre, non c’è anche alcuna indicazione grafica sull’interfaccia di Google Calendar da cui gli utenti possano ottenere un suggerimento che hanno reso pubblico quel calendar e dovrebbero smettere di aggiungere eventi personali allo stesso.
Utilizzando una query di ricerca avanzata di Google (Google Dork), è possibile elencare tutti i calendari disponibili pubblicamente in pochi secondi e accedere a tutte le informazioni, compresi i dati aziendali sensibili appartenenti ad alcune organizzazioni.
“Diversi calendari appartenevano anche a molti dei primi 500 dipendenti dell’azienda Alexa, che sono stati resi intenzionalmente / involontariamente resi pubblici dal dipendente stesso“, secondo le indagini di Avinash.
Un’altra vulnerabilità: i link
Gli hacker hanno anche sfruttato il Google Calendar per colpire gli utenti attraverso attacchi che prevedevano un furto di credenziali, attraverso il phishing con cui stavano inviando alle vittime un’e-mail contenente un invito a un evento creato con collegamenti dannosi.
L’unico modo per condividere un calendario di Google
Nel caso in cui un utente desideri condividere un Calendario con qualcuno in privato, Google consente agli utenti di invitare utenti specifici aggiungendo i loro indirizzi email nelle impostazioni del Calendario, anziché renderli accessibili al pubblico. Questo è l’unico modo corretto di condividere un calendario. A patto di ricordarsi di eliminarli dalla condivisione nel caso in cui non sia più necessario.
Interessato a un’analisi di sicurezza? Il team di Noi Sicurezza può aiutarti.
CHIEDI INFORMAZIONI