«Advertencia: hacer público su calendario hará que todos los eventos sean visibles para el mundo, incluso a través de la búsqueda de Google. ¿Está seguro?»

¿Recuerdas esta advertencia de seguridad? ¿No?

Si alguna vez ha compartido sus calendarios de Google, o tal vez sin darse cuenta, con alguien que ya no debería estar accesible públicamente, debe volver inmediatamente a la configuración de Google y verificar si está exponiendo todos sus eventos y actividades comerciales en Internet accesible para alguien.

En el momento de escribir este artículo, hay más de 8000 calendarios de Google de acceso público, que se pueden buscar con el propio motor de Google, que permiten a cualquier persona no solo acceder a detalles confidenciales guardados en ellos, sino también agregar nuevos eventos con información o enlaces creados con fines malintencionados, dijo el investigador de seguridad Avinash Jain. Las noticias de los hackers.

Avinash jainistaun investigador de seguridad de la India que trabaja en una empresa de comercio electrónico, Grofers, que previamente encontró vulnerabilidades en otras plataformas como la NASA, Google, Jira y Yahoo.

«Pude acceder a los calendarios públicos de varias organizaciones que filtraron detalles confidenciales como sus ID de correo electrónico, el nombre del evento, los detalles del evento, la ubicación, los enlaces de la reunión, los enlaces de la reunión de zoom, los enlaces de Hangouts de Google, los enlaces de la presentación interna y mucho más», dice Avinash. en una publicación compartida exclusivamente con The Hacker News.

Bueno, dado que el comportamiento previsto del Servicio de calendario es una característica útil para colaborar con las personas al hacer público un Calendario, no se puede culpar directamente a Google por los datos expuestos.

«Si bien esta es más una configuración prevista por los usuarios y el comportamiento previsto del servicio, el problema principal aquí es que cualquiera puede ver el calendario público de cualquier persona, agregar cualquier cosa en él, solo con una sola consulta de búsqueda sin compartir el enlace del calendario, dice Avinash.

Además, el problema no es realmente nuevo, sino que se planteó por primera vez hace 12 años cuando Google agregó esta característica de «hacerlo público» a su servicio de calendario basado en la web como una forma genial para que los usuarios descubran eventos emocionantes a través de los motores de búsqueda, pero algunas búsquedas rápidas revelaron información corporativa confidencial que se hizo pública sin darse cuenta mediante Google Calendar.

Como dice el investigador, dado que Google no notifica al creador de un Calendario público cuando alguien accede a él o le agrega un evento, la función hace que sea más difícil para los usuarios saber si están exponiendo información sin querer e incluso están abiertos a los spammers y phishers también.

Además de esto, tampoco hay una indicación gráfica en la interfaz del Calendario desde donde los usuarios puedan obtener una pista de que han hecho público ese Calendario y deben dejar de agregar eventos personales al mismo.

Usando una consulta de búsqueda avanzada de Google (Google Dork), uno puede enumerar todos los calendarios disponibles públicamente en segundos y acceder a toda la información, incluidos los datos corporativos confidenciales que pertenecen a algunas organizaciones, como se muestra en las capturas de pantalla compartidas por Avinash.

«Varios calendarios también pertenecían a muchos de los 500 principales empleados de la empresa Alexa, que los propios empleados hicieron públicos intencionalmente o no», advierte Avinash.

Hace unos meses, la empresa de seguridad Kaspersky también descubrió estafadores que abusaban del servicio Google Calendar para atacar a los usuarios con ataques de robo de credenciales, donde los phishers enviaban a las víctimas un correo electrónico que contenía una invitación a un evento manipulado con enlaces maliciosos.

En caso de que un usuario quiera compartir un Calendario con alguien de forma privada, Google también permite a los usuarios invitar a usuarios específicos agregando sus direcciones de correo electrónico en la configuración del Calendario, en lugar de hacerlos accesibles al público.