Thông tin của hàng ngàn người dùng Google Calendar có thể rò rỉ trực tuyến


Tính năng chia sẻ công khai trong Lịch Google (Google Calendar) tiết lộ thông tin nhạy cảm của hàng ngàn người dùng thông qua công cụ tìm kiếm. Bên cạnh đó, bất cứ ai cũng có thể thêm các sự kiện hoặc thậm chí các liên kết độc hại vào Lịch của người dùng.



Nếu bạn đã từng chủ động hoặc vô tình chia sẻ Lịch Google (Google Calendar) của mình với một người khác, dù cho đến nay không còn hiển thị công khai nữa thì tốt nhất là bạn hãy ngay lập tức truy cập vào phần cài đặt của Google ( Google setting ) để kiểm tra xem liệu mình có đang chia sẻ tất cả các thông tin lịch trình và sự kiện công khai trên Internet mà bất cứ ai cũng có thể truy cập được hay không.  



Hơn 8000 Lịch Google có thể truy cập công khai



Nhà nghiên cứu bảo mật Avinash Jain cho biết hiện có hơn 8000 Lịch Google có thể truy cập công khai, thậm chí có thể tìm thấy thông qua công cụ tìm kiếm của Google , cho phép bất cứ ai cũng có thể truy cập vào các chi tiết nhạy cảm riêng tư được lưu của người dùng, cũng như thêm các sự kiện mới với các thông tin hoặc liên kết độc hại .



Avinash Jain là một nhà nghiên cứu bảo mật đến từ Ấn Độ làm việc trong một công ty thương mại điện tử Grofers. Ông cũng chính là người trước đây đã tìm thấy lỗ hổng trong các nền tảng khác như NASA, Google, Jira và Yahoo.



Avinash khẳng định có thể truy cập lịch công khai (puclic calendar) của nhiều tổ chức khác nhau và xem được các chi tiết nhạy cảm như id email, tên sự kiện, chi tiết sự kiện, địa điểm, liên kết (link) cuộc họp trực tuyến, liên kết báo cáo nội bộ và nhiều thông tin quan trọng khác.



Có điều, đây vốn là một tính năng hữu ích để các cá nhân và
tổ chức có thể cộng tác với những người khác thông qua việc công khai Lịch của
mình, nên thật khó để có thể đổ lỗi trực tiếp cho Google về những dữ liệu bị tiết
lộ.  



Về phía Avinash, ông cho biết “Mặc dù là một cài đặt
có chủ ý dành cho người dùng, nhưng vấn đề chính ở đây là bất kỳ ai cũng có thể
xem lịch của người khác và thêm các sự kiện chỉ bằng một truy vấn tìm kiếm dù
cho họ không được chia sẻ liên kết lịch.”



Đây không phải là vấn đề mới…



Vấn đề này không thực sự mới, vì nó đã từng được đưa ra lần đầu tiên cách đây 12 năm khi Google bổ sung tính năng “make it public” cho nền tảng web của mình như một cách tuyệt vời để giúp người dùng khám phá các sự kiện thú vị thông qua các công cụ tìm kiếm. Đáng tiếc là, một vài tìm kiếm nhanh đã tiết lộ thông tin nhạy cảm của các công ty được chia sẻ trên Lịch Google.



Nhà nghiên cứu cho biết, vì Google không thông báo rõ ràng cho
những người tạo Lịch công khai (public Calendar) về việc những người
khác hoàn toàn có thể truy cập hoặc thêm sự kiện mới vào Lịch của họ, thế nên người
dùng có thể vô tình để lộ thông tin và tạo kẽ hở cho những kẻ lừa đảo và gửi
tin rác tấn công.



Không có chỉ dẫn kèm lời nhắc trong Lịch Google



Bên cạnh đó, cũng không có chỉ dẫn đồ họa trên giao diện Lịch
để người dùng có thể nhận được gợi ý nên ngừng thêm các sự kiện cá nhân mỗi khi
họ thiết đặt Lịch ở chế độ công khai.



Sử dụng truy vấn tìm kiếm nâng cao của Google (Google
Dork) có thể thấy được danh sách liệt kê của tất cả các Lịch có sẵn công
khai chỉ trong vòng vài giây. Bên cạnh đó, bất cứ ai cũng có thể truy cập mọi
thông tin, bao gồm dữ liệu nhạy cảm của một số tổ chức như được hiển thị trong ảnh
chụp màn hình được chia sẻ bởi Avinash.



Vài tháng trước, công ty bảo mật Kaspersky cũng phát hiện ra những kẻ lừa đảo lạm dụng dịch vụ Lịch Google để tấn công người dùng nhằm đánh cắp thông tin xác thực. Những kẻ lừa đảo sẽ gửi cho nạn nhân một email chứa lời mời sự kiện được tạo thủ công chứa các liên kết độc hại.



Trong trường hợp bạn muốn chia sẻ Lịch với ai đó một cách riêng tư, bạn có thể cân nhắc tính năng chia sẻ bằng cách thêm địa chỉ Email của Google trong cài đặt Lịch thay vì cho phép họ truy cập công khai.



THN



>> Tại sao các doanh nghiệp hàng đầu chọn Bug Bounty để bảo mật ứng dụng web?



>> WhiteHub: nền tảng kết nối chuyên gia an ninh mạng với doanh nghiệp có nhu cầu pentest sản phẩm công nghệ (web, mobile app, IoT, API, SaaS,…).




Tư vấn triển khai Bug Bounty : whitehub.net/demo

Tìm hiểu về giải pháp Crowdsourced Security (bảo mật cộng đồng): whitehub.net/get-started


The post Thông tin của hàng ngàn người dùng Google Calendar có thể rò rỉ trực tuyến appeared first on SecurityDaily .

Top News