Ribuan Kalender Google Mungkin Membocorkan Informasi Pribadi Online
"Peringatan – Membuat kalender Anda menjadi publik akan membuat semua acara terlihat oleh dunia, termasuk melalui pencarian Google. Apakah Anda yakin?"
Ingat peringatan keamanan ini? Tidak
Jika Anda pernah membagikan Google Calendars Anda, atau mungkin secara tidak sengaja, dengan seseorang yang seharusnya tidak dapat diakses publik lagi, Anda harus segera kembali ke pengaturan Google Anda dan memeriksa apakah Anda mengekspos semua acara dan aktivitas bisnis di Internet yang dapat diakses oleh siapapun
Pada saat penulisan, ada lebih dari 8000 Kalender Google yang dapat diakses secara publik, dapat dicari dengan menggunakan mesin Google itu sendiri, yang memungkinkan siapa saja untuk tidak hanya mengakses detail sensitif yang disimpan padanya, tetapi juga menambahkan acara baru dengan informasi atau tautan yang dibuat dengan cara jahat, kata peneliti keamanan Avinash Jain kepada The Hacker News
Avinash Jain, seorang peneliti keamanan dari India yang bekerja di perusahaan e-commerce, Grofers, yang sebelumnya menemukan kerentanan di platform lain seperti NASA, Google, Jira, dan Yahoo.
"Saya dapat mengakses kalender publik dari berbagai organisasi yang membocorkan detail sensitif seperti id email mereka, nama acara, detail acara, lokasi, tautan rapat, tautan rapat zoom, tautan hangout google, tautan presentasi internal, dan banyak lagi," kata Avinash dalam pos yang secara eksklusif dibagikan dengan The Hacker News.
Ya, karena perilaku yang dimaksudkan dari Layanan Kalender yang datang sebagai fitur praktis untuk berkolaborasi dengan orang-orang dengan membuat Kalender menjadi publik, orang tidak dapat langsung menyalahkan Google untuk data yang terbuka.
"Meskipun ini lebih merupakan pengaturan yang dimaksudkan oleh pengguna dan perilaku layanan yang dimaksudkan tetapi masalah utama di sini adalah bahwa siapa pun dapat melihat siapa pun kalender publik, tambahkan apa saja di atasnya – hanya dengan satu permintaan pencarian tanpa dibagikan tautan kalender, "Kata Avinash.
Juga, masalah ini benar-benar bukan hal baru, melainkan pertama kali diangkat 12 tahun yang lalu ketika Google menambahkan fitur "buat publik" ini ke layanan kalender berbasis web sebagai cara yang keren bagi pengguna untuk menemukan acara menarik melalui mesin pencari, tetapi beberapa pencarian cepat mengungkapkan informasi perusahaan yang sensitif yang secara tidak sengaja dipublikasikan untuk menggunakan Google Kalender.
Seperti yang dikatakan oleh peneliti, karena Google tidak memberi tahu pembuat Kalender publik ketika seseorang mengaksesnya atau menambahkan acara ke dalamnya, fitur ini mempersulit pengguna untuk mengetahui apakah mereka mengekspos informasi secara tidak sengaja dan bahkan terbuka untuk spammer dan phisher juga.
Selain itu, juga tidak ada indikasi grafis pada antarmuka Kalender dari mana pengguna dapat memperoleh petunjuk bahwa mereka telah membuat Kalender itu publik dan harus berhenti menambahkan acara pribadi yang sama.
Menggunakan kueri pencarian Google canggih (Google Dork), seseorang dapat mendaftar semua Kalender yang tersedia untuk umum dalam hitungan detik dan mengakses setiap informasi, termasuk data perusahaan yang sensitif milik beberapa organisasi, seperti yang ditunjukkan dalam tangkapan layar yang dibagikan oleh Avinash.
"Berbagai kalender milik banyak dari 500 karyawan teratas perusahaan Alexa juga, yang sengaja / tidak sengaja dipublikasikan oleh karyawan itu sendiri," Avinash memperingatkan.
Beberapa bulan yang lalu, perusahaan keamanan Kaspersky juga menemukan scammer menyalahgunakan layanan Kalender Google untuk menargetkan pengguna dengan serangan pencurian kredensial, di mana phisher mengirimi korban sebuah email berisi undangan acara yang dibuat dengan tautan berbahaya.
Jika pengguna ingin berbagi Kalender dengan seseorang secara pribadi, Google juga memungkinkan pengguna untuk mengundang pengguna tertentu dengan menambahkan alamat email mereka di bawah pengaturan Kalender, alih-alih membuatnya dapat diakses oleh publik.
