Календари на телефоне оказались опасными
Специалист по безопасности Авинаш Джайн (Avinash Jain) обнаружил в свободном доступе тысячи календарей Google. Таким образом, любой пользователь может отслеживать частные и корпоративные мероприятия, читать конфиденциальные материалы из вложений к планируемым событиям. Джайн сделал свое открытие, используя специальные поисковые запросы Google (так называемые Google Dorks). В частности, команда inurl:https://calendar.google.com/calendar?cid= открывает все общедоступные календари. На момент публикации их количество составляет около восьми тысяч. Пользователи путаются в настройках Google Виновниками такой ситуации оказались владельцы календарей, которые сами предоставляют свою информацию поисковику. При открытии публичного доступа на экране появляется уведомление о том, что данные появятся в результатах поиска Google и будут доступны всем желающим. Что можно узнать из публичных календарей Исследователь допускает, что многие календари могут быть открыты специально — например, чтобы встраивать их в сайты или предлагать интернет-пользователям для подписки. Однако во многих случаях они явно содержали конфиденциальную информацию. Среди таких материалов были ссылки на корпоративные мероприятия, внутренние презентации, данные о посещении врача и приватные встречи. Джайн привел в пример исследователя, который смог найти календарь сотрудника компании Shopify, угадав его имя пользователя Google. В результате он получил доступ к информации о новом сотруднике организации, скачал их презентацию и сохранил ссылку на расписание встреч. Позиция Google Разработчики Google заявили, что пользователи осознанно принимают решение о предоставлении общего доступа к своим календарям. Тем не менее, многие комментаторы указывают, что владельцы публичных календарей могут со временем забыть об открытом доступе. Другие проблемы неправильных настроек Это далеко не первый случай, когда ошибки организации доступа приводят к раскрытию приватной информации.Threatpost