22 sept 2019

Google Calendar filtra información y la responsabilidad es tuya!

Si alguna vez has compartido los calendarios de Google debes volver a revisar la configuración de Calendar porque los datos incluidos pueden ser accesibles al público en general, como ha alertado un investigador de seguridad indio de la firma de comercio electrónico, Grofers.

Es importante aclarar que no existe una vulnerabilidad real en los calendarios de Google. Lo que está en cuestión es la facilidad de cometer un error de privacidad al configurar la aplicación al compartirlo con terceros. El investigador Avinash Jain asegura que la configuración no advierte lo suficiente a los usuarios que compartir un calendario con otras personas a través de un enlace puede exponer ese calendario al público, y también hacer que el enlace esté disponible para ser indexado por el mismo motor de búsqueda de Google. Y cualquier puede encontrarlo con una búsqueda avanzada en Google Search.

Recientemente un artículo hablaba sobre cómo los usuarios del servicio de Google Calendar están siendo atacados mediante el uso de notificaciones maliciosas y no solicitadas de Google Calendar mediante la adición automática de invitación al calendario de un usuario. Este riesgo habla claramente de cómo los usuarios pueden explotar configuraciones mal configuradas en los servicios de Google. Investigando más sobre esto, el investigador vió que hay varias configuraciones en el calendario de Google que permiten a los usuarios compartir su calendario con usuarios específicos o hacerlos públicos.
"Pude acceder a calendarios de varias organizaciones que filtraban detalles confidenciales como sus identificadores de correo electrónico, el nombre del evento, los detalles del mismo, la ubicación, enlaces de la reunión, al chat hangout de Google, enlaces a la presentación interna y mucho más", explica el investigador.

Por ejemplo se puede buscar de la siguiente manera:
inurl:https://calendar.google.com/calendar?cid=
No se puede culpar directamente a Google por los datos expuestos y más cuando la compañía lo advierte específicamente: "Hacer público su calendario hará que todos los eventos sean visibles en todo el mundo, incluso a través de la búsqueda de Google. ¿Estás seguro?". Sin embargo, el investigador aconseja mayor información de lo que puede suceder. "Si bien esto es una configuración prevista por el servicio, el problema principal aquí es que cualquiera puede ver un calendario público, agregar cualquier cosa en él, simplemente con una sola consulta de búsqueda sin conocer el enlace del calendario".

"Los usuarios aparentemente lo ignoran o no entienden las implicaciones de privacidad que conlleva este tipo de configuración", comenta el investigador de seguridad que ha encontrado vulnerabilidades anteriores en plataformas como la NASA, Google, Yahoo! y otras.

Este no es el mismo caso, pero podría llevar a usuarios y empresas exponer inadvertidamente al público lo que ellos pensaban que era un calendario privado. La cuestión no es nueva. Han surgido problemas similares en torno a la configuración de datos en portales web y sitios de redes sociales como Facebook y otros. El hilo común es que incluso los usuarios de Internet más experimentados pueden pasar por alto fácilmente la configuración de privacidad y dejar involuntariamente expuestos datos privados.

Te aconsejamos revisar la configuración de Google Calendar y asegurarte si realmente quieres compartir públicamente los calendarios. Si quieres compartir un Calendario con alguien en privado, Google permite a los usuarios invitar a usuarios específicos agregando sus direcciones de correo electrónico en la configuración en lugar de hacerlos accesibles al público.

Fuente: Muy Seguridad

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!