Google Calendar: miles de calendarios mal configurados, expusieron información privada

Google ha sido objeto de críticas por un ajuste de configuración vinculado a su servicio Google Calendar, que ha dejado cientos de calendarios abiertos al público de forma inadvertida, lo que podría exponer a miles de millones de personas más.
Es importante tener en cuenta que no existe alguna vulnerabilidad real en la configuración de Google Calendar. Lo que está en juego es la facilidad de cometer un error de privacidad al configurar Google Calendar para que se comparta con otros usuarios.
El investigador Avinash Jain, que detalló el problema en un artículo publicado el martes, afirma que la configuración de Google Calendar no advierte suficientemente a los usuarios de que compartir un calendario de Google con otras personas que utilizan un enlace puede exponerlo al público, lo que también hace que el enlace esté disponible para que sea indexado por Google.
Esto podría llevar a los usuarios desprevenidos a exponer inadvertidamente al público lo que pensaban que era un calendario privado de Google. El problema no es nuevo para la tecnología. Problemas similares han surgido en torno a la configuración de datos para herramientas digitales y sitios de medios sociales como Facebook y otros. La característica común es que incluso los usuarios experimentados de Internet son a veces culpables de pasar por alto fácilmente la privacidad y la configuración del uso compartido de datos que puede dejar expuestos los datos privados involuntariamente.
La configuración de Google Calendar en cuestión es para los usuarios que desean organizar reuniones compartiendo su calendario con usuarios específicos mediante un enlace específico. Sin embargo, lo que la configuración permite es que cualquiera que tenga el enlace compartido – no sólo el usuario deseado – pueda ver el calendario compartido, según Jain. Lo que esa notificación significa es que la URL se indexa por la búsqueda de Google, lo que significa que cualquiera puede encontrar el calendario sin siquiera conocer el enlace, dijo.
Google advierte a los usuarios antes de activar la configuración: “Si haces público tu calendario, todos los eventos serán visibles en todo el mundo, incluso a través de la búsqueda en Google. ¿Estás seguro?” Pero los usuarios parecen ignorarla o no entender todas las implicaciones de privacidad del entorno, dijo Jain, que es un investigador de seguridad de la India que trabaja con la empresa de comercio electrónico Grofers, y que ha encontrado vulnerabilidades anteriores en plataformas como NASA, Google, Jira, Yahoo y otras.
“Aunque se trata más bien de una configuración prevista por los usuarios y del comportamiento previsto del servicio, la cuestión principal aquí es que cualquiera puede ver cualquier calendario público, añadir cualquier cosa en él – sólo con una sola consulta de búsqueda sin que se comparta el enlace del calendario”, expresó Jain.
“La gente podría haber hecho público su calendario para alguna organización/empresa/gente en particular y tener la intención de compartir la URL con ellos solamente, pero en su lugar, es indexada por Google Search y listada públicamente, se puede buscar en Internet y cualquiera que no conozca ningún enlace puede encontrarla. Las personas que no están hechas con la intención de ver el calendario de alguien ahora también pueden acceder a él”, dijo. “Lo que lo hace más amenazante es si el calendario tiene configuraciones mal configuradas que permiten a los usuarios añadir eventos/enlaces en él.”
Para probar esto, utilizando una sola consulta de búsqueda avanzada de Google, Jain pudo descubrir a todos los usuarios públicos de Google Calendar que configuraron su calendario como public.google calendar privacy.
El experto encontró más de 200 calendarios públicos indexados por los motores de búsqueda de Google, algunos de los cuales revelan horarios de reuniones de empresas, entrevistas, eventos, información interna, enlaces de presentación y mucho más. Muchos de estos calendarios pertenecían a empleados de las 500 principales empresas de Alexa.
“Pude acceder a los calendarios públicos de varias organizaciones filtrando detalles delicados como sus identificaciones de correo electrónico, su nombre del evento, detalles del evento, ubicación, enlaces de reuniones, enlaces de reuniones con zoom, enlaces de lugares de reunión en Google, enlaces de presentación interna y mucho más”, dijo Jain.
Los usuarios de Google Calendar pueden asegurarse de que no configuran accidentalmente sus calendarios de forma pública accediendo a la configuración de Google Calendar y buscando opciones de visibilidad del calendario y de uso compartido.

Comentarios

Publicar un comentario

Entradas populares de este blog

Un error de Android permite a los delincuentes plantar malware a través del NFC

Imagen
Google parcheó, en octubre, una falla en Android que puede permitir a los piratas informáticos propagar malware a un teléfono cercano a través de una función poco conocida de Android OS llamada NFC beaming. La transmisión NFC funciona a través de un servicio interno del sistema operativo Android conocido como Android Beam. Este servicio permite a un dispositivo Android enviar datos como imágenes, archivos, vídeos o incluso aplicaciones a otro dispositivo cercano utilizando ondas de radio NFC (Near-Field Communication), como alternativa a WiFi o Bluetooth. Normalmente, las aplicaciones (archivos APK) enviadas a través de NFC Beaming se almacenan en el disco y se muestra una notificación en pantalla. La notificación pregunta al propietario del dispositivo si desea permitir que el servicio NFC instale una aplicación de una fuente desconocida. Pero, en enero de este año, un investigador de seguridad llamado Y. Shafranovich descubrió que las aplicaciones enviadas a través de NFC en A
Leer más

Noticias de Septiembre - Octubre 2012

"El recibo digital todavía es virtual" La Nación "El robo de datos, un peligro de la era internet" Jazmín Bognanni - Infobae. "¿De donde vienen los ataques en las empresas?" Pamela Stupia "Certisur pionera en la implementación del recibo de sueldos electrónico" TyN Governments. "CertiSur y Symantec presentaron la tendencia mundial en certificados digitales" - mercado.com -
Leer más

Noticias Julio: Seguridad en Internet: la visión de los usuarios 2012

¿A qué le temen los usuarios argentinos de Internet? por Cesar Dergarabedian "Solo Internet y el hogar son considerados refugio seguro" por Epifanio Blanco En seis años se duplicaron las operaciones por homebanking El 28% de los usuarios de internet no usa home banking por considerarlo inseguro Los usuarios argentinos compran más por internet por miedo a la inseguridad " La percepción de seguridad en transacciones online mejora, pero no tanto" Rocío Bravo LOS ARGENTINOS Y EL HOME-BANKING La cantidad de operaciones bancarias por internet creció 50% en seis años "Certisur/D’Alessio Irol: Navegamos más pero entendemos menos" por Ricardog Tres de cada diez personas aún no confía en la banca en línea Para el 28% de los usuarios de Internet el Home Banking sigue siendo inseguro Sigue la desconfianza a operar con bancos en internet
Leer más