Miles de calendarios de Google posiblemente filtran información privada en línea

búsqueda de calendario de google

“Advertencia: hacer público su calendario hará que todos los eventos sean visibles para el mundo, incluso a través de la búsqueda de Google. ¿Está seguro?”

¿Recuerdas esta advertencia de seguridad? ¿No?

Si alguna vez ha compartido sus calendarios de Google, o tal vez sin darse cuenta, con alguien que ya no debería ser accesible públicamente, debe volver inmediatamente a su configuración de Google y verificar si está exponiendo todos sus eventos y actividades comerciales en Internet accesibles a nadie.

En el momento de escribir este artículo, hay más de 8000 calendarios de Google de acceso público, que se pueden buscar utilizando el motor de Google, que permiten a cualquier persona acceder no solo a los datos confidenciales guardados sino también agregar nuevos eventos con información o enlaces creados de manera maliciosa, dijo el investigador de seguridad Avinash Jain The Hacker News.

Avinash Jain, un investigador de seguridad de la India que trabaja en una empresa de comercio electrónico, Grofers, que anteriormente encontró vulnerabilidades en otras plataformas como la NASA, Google, Jira y Yahoo.

“Pude acceder a calendarios públicos de varias organizaciones que filtraban detalles confidenciales como sus identificadores de correo electrónico, su nombre de evento, detalles del evento, ubicación, enlaces de reunión, enlaces de reunión de zoom, enlaces de Hangouts de Google, enlaces de presentación interna y mucho más”, dice Avinash en una publicación compartida exclusivamente con The Hacker News.

Bueno, dado que el comportamiento previsto del Servicio de calendario es una característica útil para colaborar con las personas al hacer público un Calendario, no se puede culpar directamente a Google por los datos expuestos.

calendario público de google

calendario público de google

“Si bien esto es más una configuración prevista por los usuarios y el comportamiento previsto del servicio, pero el problema principal aquí es que cualquiera puede ver cualquier calendario público, agregar cualquier cosa en él, simplemente con una sola consulta de búsqueda sin compartir el enlace del calendario, “Avinash dice.

Además, el problema realmente no es nuevo, sino que se planteó por primera vez hace 12 años cuando Google agregó esta función de “hacer público” a su servicio de calendario basado en la web como una forma genial para que los usuarios descubran eventos interesantes a través de los motores de búsqueda, pero Algunas búsquedas rápidas revelaron información corporativa confidencial que se hizo pública inadvertidamente mediante Google Calendar.

Como dice el investigador, dado que Google no notifica al creador de un Calendario público cuando alguien accede a él o le agrega un evento, la función dificulta que los usuarios sepan si están exponiendo información involuntariamente e incluso están abiertos a spammers y phishers también.

Además de esto, tampoco hay una indicación gráfica en la interfaz del Calendario desde donde los usuarios puedan obtener una pista de que hicieron público ese Calendario y deberían dejar de agregar eventos personales al mismo.

Mediante una consulta de búsqueda avanzada de Google (Google Dork), se pueden enumerar todos los calendarios disponibles públicamente en segundos y acceder a toda la información, incluidos los datos corporativos confidenciales que pertenecen a algunas organizaciones, como se muestra en las capturas de pantalla compartidas por Avinash.

“Varios calendarios pertenecían también a muchos de los 500 empleados principales de la compañía Alexa, que los propios empleados hicieron público de manera intencional o no”, advierte Avinash.

Hace unos meses, la firma de seguridad Kaspersky también descubrió que los estafadores abusaron del servicio Google Calendar para atacar a los usuarios con ataques de robo de credenciales, donde los phishers enviaban a las víctimas un correo electrónico que contenía una invitación a eventos creada con enlaces maliciosos.

En caso de que un usuario quiera compartir un Calendario con alguien en privado, Google también permite a los usuarios invitar a usuarios específicos agregando sus direcciones de correo electrónico en la configuración del Calendario, en lugar de hacerlos accesibles al público.