Google Calendar: miles de calendarios mal configurados, expusieron información privada

Google ha sido objeto de críticas por un ajuste de configuración vinculado a su servicio Google Calendar, que ha dejado cientos de calendarios abiertos al público de forma inadvertida, lo que podría exponer a miles de millones de personas más.
Es importante tener en cuenta que no existe alguna vulnerabilidad real en la configuración de Google Calendar. Lo que está en juego es la facilidad de cometer un error de privacidad al configurar Google Calendar para que se comparta con otros usuarios.
El investigador Avinash Jain, que detalló el problema en un artículo publicado el martes, afirma que la configuración de Google Calendar no advierte suficientemente a los usuarios de que compartir un calendario de Google con otras personas que utilizan un enlace puede exponerlo al público, lo que también hace que el enlace esté disponible para que sea indexado por Google.
Esto podría llevar a los usuarios desprevenidos a exponer inadvertidamente al público lo que pensaban que era un calendario privado de Google. El problema no es nuevo para la tecnología. Problemas similares han surgido en torno a la configuración de datos para herramientas digitales y sitios de medios sociales como Facebook y otros. La característica común es que incluso los usuarios experimentados de Internet son a veces culpables de pasar por alto fácilmente la privacidad y la configuración del uso compartido de datos que puede dejar expuestos los datos privados involuntariamente.
La configuración de Google Calendar en cuestión es para los usuarios que desean organizar reuniones compartiendo su calendario con usuarios específicos mediante un enlace específico. Sin embargo, lo que la configuración permite es que cualquiera que tenga el enlace compartido – no sólo el usuario deseado – pueda ver el calendario compartido, según Jain. Lo que esa notificación significa es que la URL se indexa por la búsqueda de Google, lo que significa que cualquiera puede encontrar el calendario sin siquiera conocer el enlace, dijo.
Google advierte a los usuarios antes de activar la configuración: “Si haces público tu calendario, todos los eventos serán visibles en todo el mundo, incluso a través de la búsqueda en Google. ¿Estás seguro?” Pero los usuarios parecen ignorarla o no entender todas las implicaciones de privacidad del entorno, dijo Jain, que es un investigador de seguridad de la India que trabaja con la empresa de comercio electrónico Grofers, y que ha encontrado vulnerabilidades anteriores en plataformas como NASA, Google, Jira, Yahoo y otras.
“Aunque se trata más bien de una configuración prevista por los usuarios y del comportamiento previsto del servicio, la cuestión principal aquí es que cualquiera puede ver cualquier calendario público, añadir cualquier cosa en él – sólo con una sola consulta de búsqueda sin que se comparta el enlace del calendario”, expresó Jain.
“La gente podría haber hecho público su calendario para alguna organización/empresa/gente en particular y tener la intención de compartir la URL con ellos solamente, pero en su lugar, es indexada por Google Search y listada públicamente, se puede buscar en Internet y cualquiera que no conozca ningún enlace puede encontrarla. Las personas que no están hechas con la intención de ver el calendario de alguien ahora también pueden acceder a él”, dijo. “Lo que lo hace más amenazante es si el calendario tiene configuraciones mal configuradas que permiten a los usuarios añadir eventos/enlaces en él.”
Para probar esto, utilizando una sola consulta de búsqueda avanzada de Google, Jain pudo descubrir a todos los usuarios públicos de Google Calendar que configuraron su calendario como public.google calendar privacy.
El experto encontró más de 200 calendarios públicos indexados por los motores de búsqueda de Google, algunos de los cuales revelan horarios de reuniones de empresas, entrevistas, eventos, información interna, enlaces de presentación y mucho más. Muchos de estos calendarios pertenecían a empleados de las 500 principales empresas de Alexa.
“Pude acceder a los calendarios públicos de varias organizaciones filtrando detalles delicados como sus identificaciones de correo electrónico, su nombre del evento, detalles del evento, ubicación, enlaces de reuniones, enlaces de reuniones con zoom, enlaces de lugares de reunión en Google, enlaces de presentación interna y mucho más”, dijo Jain.
Los usuarios de Google Calendar pueden asegurarse de que no configuran accidentalmente sus calendarios de forma pública accediendo a la configuración de Google Calendar y buscando opciones de visibilidad del calendario y de uso compartido.

Comentarios

Entradas populares de este blog

Facebook suspendió “decenas de miles de aplicaciones” que atentan contra la privacidad de usuarios