Часто пользователи самых обычных сервисов и приложений даже не подозревают, что их персональные данные находятся в опасности. Иногда вина лежит на самих людях: многие до сих пор не используют хороших паролей, посещают фишинговые сайты и игнорируют предупреждения антивирусов об опасности, но бывают и случаи, когда обычные пользователи не при чём, а вина полностью или частично лежит на разработчиках. Довольно часто проблемы с безопасностью возникают не только у каких-то мелких конторок, но и у вполне респектабельных компаний. Впрочем, случается и так, что виноваты все сразу, как в этом случае.
Дэви Виндер, журналист издания Forbes, опубликовал пост, в котором рассказал, что на него вышел Авинаш Джайн, индийский специалист по кибербезопасности, который поделился неприятными подробностями, касающимися сервиса «Календарь» от Google.
Исследователь сообщил, что смог получить доступ примерно к восьми тысячам чужих календарей Google при помощи обычного поисковика этой же компании. После этого Джайн получил возможность просматривать чужие заметки о мероприятиях, ссылки на встречи, ссылки в Google Hangouts, на презентации и прочее.
Джейн сосредоточил своё внимание на тех опциях, которые позволяют пользователю обмениваться календарными событиями с определёнными пользователями, а именно на опции публикаций календаря. Эта настройка была изначально предусмотрена разработчиком, но проблема заключается в том, что любой желающий может просмотреть любой открытый календарь, сделав один поисковый запрос в Google Google даже не имея на него ссылки. Специалист отметил, что уязвимости не связаны с программным кодом и, по всей вероятности, появились из-за неправильной конфигурации настроек сервиса.
Подписывайтесь на наш канал в Яндекс.Дзен. Там тоже много интересного.
Кому-то это может показаться странным, но многие пользователи часто прибегают к совместному использованию календаря. Видимо, чтобы не напоминать лишний раз забывчивым родственникам и коллегам о предстоящих событиях. Пользователь сам может выставить уровень приватности, при необходимости ограничив круг лиц с доступом, но это неизбежно приведёт к потере функциональности приложения, ради которой совместная работа и задумывалась.
Перед тем как сделать свой календарь публичным, пользователь получает предупреждение о том, что все его события будут доступны третьим лицам, в том числе и через поисковик, но, как пояснил Джейн, проблемы конфиденциальности это не решает. Например, пользователь хотел расшарить свой календарь, сделав его доступным только сотрудникам его отдела, а его теперь читают миллионы. А ведь связав несколько отмеченных в календаре событий злоумышленник при желании сможет нанести серьёзный вред указанным там людям.
Представители Google отреагировали на заметку и опубликовали ответ, в котором сказано, что по умолчанию Календарь конфиденциален, в том числе и при совместном доступе, но только до тех пор, пока пользователь самостоятельно не сделает его общедоступным. Для этого и существует специальное уведомление, которое предупреждает о последствиях.
Безопасных мест в интернете осталось не так много. Одно из них — наш телеграм-канал, в котором всегда можно обсудить свежие новости.