Miles de usuarios de Google están exponiendo el contenido de sus calendarios al público. Los motores de búsqueda indexan la información y pueden incluir direcciones de correo electrónico y eventos privados de particulares y empresas.
El problema se debe a la configuración incorrecta de Google Calendar para compartir su contenido con otros. Sin embargo, hacer públicos los datos significa que cualquier persona con su enlace Calendario puede acceder a ellos.
Google muestra una advertencia al respecto, pero miles de usuarios parecen ignorarlo, permitiendo que sus calendarios estén disponibles en búsquedas públicas. Incluso las organizaciones parecen ignorar la notificación y terminan revelando información relacionada con el negocio al mundo.
Avinash Jain, un investigador de seguridad de la India que trabaja para la empresa de comercio electrónico Grofers, descubrió que el uso de parámetros de búsqueda avanzada (dorks) en Google puede revelar reuniones, entrevistas, eventos, información interna, enlaces de presentación y ubicaciones para algunas empresas.
Descubrió más de 200 calendarios que exponen información que debería permanecer privada, pero Google la indexó.
Avinash tiene experiencia en encontrar detalles desprotegidos utilizando métodos fácilmente disponibles. Al poner sus habilidades a trabajar, previamente encontró una manera de descubrir servidores Jira mal configurados utilizados por compañías de renombre como Google, NASA, Lenovo, 1Password, Zendesk o Yahoo !.
Encontrar si un calendario específico es de acceso abierto es tan fácil como ejecutar una consulta en particular que incluye la dirección de correo electrónico del propietario, revela el investigador en una publicación de blog hoy. Descubrir todos los calendarios abiertos indexados por Google requiere una búsqueda más general: inurl: https: //calendar.google.com/calendar? cid =
Con esta consulta, al momento de escribir Google, se enumeran más de 7,000 resultados. Sin embargo, no todos los calendarios tienen entradas, y es cuestión de revisarlas manualmente para encontrar una que tenga información confidencial.
Avinash pudo encontrar tesoros de detalles delicados de los consultorios médicos, individuos y organizaciones.
No es necesario decir que una empresa que filtra datos específicos de sus reuniones, enlaces a presentaciones internas o identificaciones de correo electrónico se pondría en riesgo. No solo los competidores podrían obtener estos detalles, sino que los delincuentes podrían usarlos para planear un ataque cibernético.
Avinash reveló el problema a Google, pero la compañía respondió que así es como debe funcionar el producto, por lo que corresponde a los usuarios proteger sus datos.
También informó un calendario abierto a una empresa que lo recompensó por su divulgación privada. El investigador no pudo revelar el nombre de la empresa y la cantidad recibida.
Sin embargo, otro investigador que informó el mismo tipo de problema a Shopify recibió una recompensa de $ 1,500 a principios de este año. Pudo obtener los siguientes detalles del calendario expuesto:
- Nueva información de contratación
- Presentación interna
- Zoom reuniones enlace
Algunos usuarios pueden necesitar compartir sus calendarios para dar a conocer su horario a otros y reducir el riesgo de solicitudes o actividades improvisadas que perturben su flujo de trabajo.
Una solución es configurar su calendario para compartir información mínima sobre su horario, divulgando solo si está ocupado o disponible. Esto se recomienda especialmente a los administradores de GSuite que manejan los calendarios de las personas en una organización.
Fecha actualización el 2021-09-18. Fecha publicación el 2019-09-18. Categoría: google Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputerk Version movil