นักวิจัยเตือนว่าการตั้งค่าใน Google Calendar บอกผู้ใช้ไม่ชัดเจนพอ ทำให้ผู้ใช้ตั้ง Google Calendar เป็นสาธารณะซึ่งทำให้ทุกคนบนโลกสามารถดูได้ เป็นการเปิดเผยข้อมูลโดยไม่ตั้งใจ
โปรดทราบว่าไม่มีช่องโหว่ในการตั้งค่า Google Calendar แต่สิ่งที่เป็นปัญหาคือการผิดพลาดด้านความเป็นส่วนตัวเมื่อกำหนดค่า Google Calendar ให้แบ่งปันกับผู้อื่น นักวิจัย Avinash Jain ที่ให้รายละเอียดของปัญหาอ้างว่าการตั้งค่าปฏิทินของ Google ไม่ได้เตือนผู้ใช้อย่างเพียงพอว่าการแบ่งปัน Google Calendar กับผู้อื่นโดยใช้ลิงก์สามารถเปิดเผยปฏิทินนั้นต่อสาธารณะ รวมถึงสามารถค้นหาได้จาก Google search engine
ผู้คนอาจทำให้ปฏิทินของพวกเขาเป็นสาธารณะเพื่อที่จะแชร์ URL กับองค์กรหรือบางคนเท่านั้น แต่ URL กลับสามารถถูกจัดทำดัชนีโดย Google Search แล้วถูกค้นหาได้ ข้อสำคัญคือในกรณีที่ปฏิทินนั้นตั้งให้สาธารณะสามารถเพิ่มกิจกรรมหรือลิงก์ได้จะยิ่งอันตราย
Jain ทดสอบด้วยการใช้คำค้นหาขั้นสูงของ Google เขาพบปฏิทินสาธารณะมากกว่า 200 ปฏิทิน ซึ่งบางปฏิทินมีการเผยแพร่ข้อมูลอย่างข้อมูลภายในบริษัทและข้อมูลสำคัญอื่นๆอีกมาก
นอกจากจะใช้คำค้นหาเพื่อหาปฏิทินที่ตั้งเป็นสาธารณะได้แล้ว ยังดูจากการวางที่อยู่อีเมลของเหยื่อใน URL นี้ (https://calendar.google.com/calendar/b/1/r?cid=users_mail_address@ gmail.com หรือ https://calendar.google.com/calendar/b/1/r?cid=users_mail_address@company_name.com) และเพิ่มลงในปฏิทินของตนเองได้อีกด้วย
ซึ่งตัวแทนของ Google ระบุว่าสำหรับ G Suite ซึ่งเป็นบริการสำหรับองค์กรนั้น ผู้ดูแลระบบสามารถตั้งค่าความเป็นส่วนตัวสูงสุดได้ว่าจะยอมให้แชร์เป็นสาธารณะหรือไม่ ถ้าไม่ ผู้ใช้งานจะไม่สามารถตั้งค่าเป็นสาธารณะได้ รวมถึงค่าตั้งต้นของการแชร์จะเป็นเฉพาะภายในเท่านั้น
ทั้งนี้เมื่อต้นปีที่ผ่านมามีการใช้ Google Calendar ในการโจมตีทางไซเบอร์ด้วยการส่งอีเว้นที่มี phishing ลิงก์ปลอมไปยังผู้ใช้งาน Google Calendar บนมือถือ ซึ่งเมื่อมีการเชิญเข้าร่วมอีเว้นใหม่ๆ จะมีป้อบอัพขึ้นมาให้ผู้ใช้งานตัดสินใจว่าจะเข้าร่วมหรือไม่โดยอัตโนมัติ ทำให้เมื่อผู้ใช้กดเข้าไปดูก็อาจจะหลงไปยังเว็บปลอม
ผู้ใช้งานและผู้ดูแลระบบควรพิจารณาการตั้งค่าความปลอดภัยของ Google Calendar ว่าเผลอตั้งเป็นสาธารณะหรือไม่
ที่มา threatpost
You must be logged in to post a comment.