الأخبار التكنولوجية والاستعراضات والنصائح!

حصري: الآلاف من تقويمات Google التي تتسرب من المعلومات الخاصة عبر الإنترنت


"تحذير – جعل التقويم الخاص بك متاحًا للجميع ، مما يجعل جميع الأحداث مرئية للعالم ، بما في ذلك عبر بحث Google. هل أنت متأكد؟"

تذكر هذا التحذير الأمني؟ لا؟

إذا كنت قد قمت بمشاركة تقاويم Google الخاصة بك ، أو ربما عن غير قصد ، مع شخص لا ينبغي أن يكون متاحًا للعامة بعد الآن ، فيجب عليك الرجوع على الفور إلى إعدادات Google الخاصة بك ومعرفة ما إذا كنت تعرض جميع أحداثك وأنشطتك التجارية على الإنترنت يمكن الوصول إليها من قبل أي شخص.

في وقت كتابة هذا التقرير ، كان هناك أكثر من 8000 من تقويمات Google التي يمكن الوصول إليها بشكل عام ، ويمكن البحث فيها باستخدام محرك جوجل نفسه ، والتي تتيح لأي شخص ليس فقط الوصول إلى التفاصيل الحساسة المحفوظة لهم ولكن أيضًا إضافة أحداث جديدة بمعلومات أو روابط معدّة بشكل ضار ، أخبار هاكر

Avinash Jain ، باحث أمني من الهند يعمل في شركة للتجارة الإلكترونية ، Grofers ، الذي وجد في السابق نقاط ضعف في منصات أخرى مثل NASA و Google و Jira و Yahoo.

يقول أفيناش: "لقد تمكنت من الوصول إلى التقاويم العامة لمختلف المنظمات التي تسرب التفاصيل الحساسة مثل معرفات البريد الإلكتروني الخاصة بهم ، واسم الحدث ، وتفاصيل الحدث ، والموقع ، وروابط الاجتماعات ، وروابط اجتماع التكبير ، وروابط Hangout على جوجل ، وروابط العروض الداخلية وغيرها الكثير". في منشور مشترك حصريًا مع The Hacker News.

حسنًا ، نظرًا لأن السلوك المقصود لخدمة التقويم هو ميزة مفيدة للتعاون مع الأشخاص من خلال جعل التقويم عامًا ، لا يمكن للمرء أن يلوم Google مباشرةً على البيانات المكشوفة.
تقويم جوجل العام

تقويم جوجل العام

"على الرغم من أن هذا يعد إعدادًا مقصودًا من قِبل المستخدمين والسلوك المقصود للخدمة ، إلا أن المشكلة الرئيسية هنا هي أن أي شخص يمكنه عرض التقويم العام لأي شخص ، إضافة أي شيء عليه – فقط من خلال استعلام بحث واحد دون مشاركة رابط التقويم ، "Avinash يقول.

أيضًا ، ليست المشكلة جديدة بالفعل ، بدلاً من ذلك ، تم طرحها لأول مرة قبل 12 عامًا عندما أضافت Google ميزة "جعلها عامة" إلى خدمة التقويم المستندة إلى الويب الخاصة بها باعتبارها وسيلة رائعة للمستخدمين لاكتشاف الأحداث المثيرة من خلال محركات البحث ، ولكن كشفت بعض عمليات البحث السريعة عن معلومات حساسة للشركة تم نشرها عن غير قصد باستخدام تقويم Google.

كما يقول الباحث ، نظرًا لأن Google لا تُعلم مُنشئ التقويم العام عندما يصل إليه شخص ما أو يضيف حدثًا إليه ، فإن هذه الميزة تجعل من الصعب على المستخدمين معرفة ما إذا كانوا يقومون بكشف المعلومات عن غير قصد وحتى يكونوا مفتوحين أمام مرسلي البريد العشوائي و المخادعين كذلك.

بالإضافة إلى ذلك ، لا يوجد أيضًا أي مؤشر بياني على واجهة التقويم حيث يمكن للمستخدمين الحصول على تلميح بأنهم جعلوا التقويم عامًا ويجب أن يتوقفوا عن إضافة الأحداث الشخصية إلى نفسه.

باستخدام استعلام بحث متقدم من Google (Google Dork) ، يمكن للمرء سرد جميع التقاويم المتاحة للجمهور في غضون ثوانٍ والوصول إلى كل المعلومات ، بما في ذلك بيانات الشركة الحساسة التي تنتمي إلى بعض المنظمات ، كما هو موضح في لقطات الشاشة التي تشاركها Avinash.

يحذر أفيناش قائلاً: "تنتمي التقاويم المختلفة إلى العديد من أفضل 500 موظف في شركة Alexa أيضًا ، والتي تم عن قصد / عن غير قصد الإعلان عنها من قبل الموظف نفسه".

قبل بضعة أشهر ، اكتشفت شركة الأمن Kaspersky أيضًا المحتالين الذين يسيئون استخدام خدمة تقويم Google لاستهداف المستخدمين بهجمات سرقة بيانات الاعتماد ، حيث يرسل المخادعون الضحايا رسالة بريد إلكتروني تحتوي على دعوة إلى حدث مصطنع تحتوي على روابط ضارة.

في حالة ما إذا كان أحد المستخدمين يرغب في مشاركة تقويم مع شخص ما بشكل خاص ، فإن Google تسمح للمستخدمين أيضًا بدعوة مستخدمين محددين عن طريق إضافة عناوين بريدهم الإلكتروني ضمن إعدادات التقويم ، بدلاً من إتاحتها للجمهور.