Google Calendar filtra información privada y es responsabilidad de los usuarios
“Advertencia: hacer público tu calendario hará que todos los eventos sean visibles para el mundo, incluso a través de las búsquedas de Google. ¿Estás seguro?”
¿Recuerdas esta advertencia de seguridad? ¿No?
Si alguna vez has compartido tus calendarios de Google (Google Calendar), o tal vez sin darte cuenta, con alguien que ya no debería ser accesible públicamente, debes volver inmediatamente a tu configuración de Google y verificar si estás exponiendo todos tus eventos y actividades comerciales en Internet, accesibles a nadie.
En el momento de la redacción de este artículo, hay más de 8000 calendarios de Google de acceso público, que se pueden buscar utilizando el propio motor de Google.
Estos permiten a cualquier persona acceder no solo a los datos confidenciales guardados, sino también agregar nuevos eventos con información o enlaces creados de manera maliciosa, afirmó el investigador de seguridad Avinash Jain.
Avinash Jain, un investigador de seguridad de la India que trabaja en una empresa de comercio electrónico, Grofers, que anteriormente encontró vulnerabilidades en otras plataformas como la NASA, Google, Jira y Yahoo.
Datos confidenciales
“Pude acceder a calendarios públicos de varias organizaciones que filtraban detalles confidenciales.
Desde sus identificadores de correo electrónico, el nombre del evento, detalles de eventos, ubicación, enlaces de reunión, enlaces de reunión de zoom, enlaces de hangout de Google, enlaces de presentación interna y mucho más”, dice Avinash en una publicación compartida exclusivamente con The Hacker News.
En resumen, dado que el comportamiento previsto del Servicio de Calendar es una característica útil para colaborar con las personas haciendo público un Calendario, no se puede culpar directamente a Google por los datos expuestos.
“Si bien esto es más una configuración prevista por los usuarios y el comportamiento previsto del servicio, el problema principal aquí es que cualquiera puede ver cualquier calendario público, agregar cualquier cosa en él, simplemente con una sola consulta de búsqueda sin compartir el enlace del calendario,” dice Avinash.
Además, el problema realmente no es nuevo, sino que se planteó por primera vez hace 12 años cuando Google agregó esta función de “hacer público” su servicio de calendario basado en la web, esto como una forma genial para que los usuarios descubran eventos interesantes a través de los motores de búsqueda.
Basta con unas búsquedas
No obstante, algunas búsquedas rápidas revelaron información corporativa confidencial, que se hizo pública inadvertidamente mediante Google Calendar.
Como dice el investigador, dado que Google no notifica al creador de un Calendario público cuando alguien accede a él o le agrega un evento, la función dificulta que los usuarios sepan si están exponiendo información involuntariamente e incluso están abiertos a spammers y phishers también.
Además de esto, tampoco hay una indicación gráfica en la interfaz del Calendario desde donde los usuarios puedan obtener una pista de que hicieron público ese Calendario y deberían dejar de agregar eventos personales al mismo.
Mediante una consulta de búsqueda avanzada de Google (Google Dork), se pueden enumerar todos los calendarios disponibles públicamente en segundos y acceder a toda la información, incluidos los datos corporativos confidenciales que pertenecen a algunas organizaciones, como se muestra en las capturas de pantalla compartidas por Avinash.
“Varios calendarios pertenecían también a muchos de los 500 empleados principales de la compañía Alexa, que intencionalmente/sin intención fueron hechos públicos por los propios empleados”, advierte Avinash.
Hace unos meses, la firma de seguridad Kaspersky también descubrió que los estafadores abusaron del servicio Google Calendar para atacar a los usuarios con ataques de robo de credenciales, donde los phishers enviaban a las víctimas un correo electrónico que contenía una invitación a eventos elaborada con enlaces maliciosos.
En caso de que un usuario quiera compartir un Calendario con alguien en privado, Google también permite a los usuarios invitar a usuarios específicos agregando sus direcciones de correo electrónico en la configuración del Calendario, en lugar de hacerlos accesibles al público.