Datenschutzskandal: Tausende von privaten Google-Kalendern online erreichbar

"Achtung - Wenn Sie Ihren Kalender öffentlich machen, werden alle Ereignisse für die Welt sichtbar, auch über die Google-Suche. Bist du sicher?" Erinnerst du dich an diese Sicherheitswarnung? Nein?

Wenn Sie Ihre Google-Kalender jemals oder vielleicht versehentlich mit jemandem geteilt haben, der nicht mehr öffentlich zugänglich sein sollte, sollten Sie sofort zu Ihren Google-Einstellungen zurückkehren und überprüfen, ob Sie alle Ihre Veranstaltungen und Geschäftsaktivitäten im Internet für jedermann zugänglich machen.

Zum Zeitpunkt des Schreibens gibt es über 8000 öffentlich zugängliche Google-Kalender, die über die Google-Engine selbst durchsucht werden können, die es jedem ermöglichen, nicht nur auf sensible, für ihn gespeicherte Daten zuzugreifen, sondern auch neue Ereignisse mit bösartig gestalteten Informationen oder Links hinzuzufügen, sagte der Sicherheitsforscher Avinash Jain gegenüber The Hacker News.

Avinash Jain, ein Sicherheitsforscher aus Indien, der in einem E-Commerce-Unternehmen namens Grofers arbeitet, der zuvor Schwachstellen in anderen Plattformen wie der NASA, Google, Jira und Yahoo gefunden hat.

"Ich konnte auf öffentliche Kalender verschiedener Organisationen zugreifen, die sensible Details wie ihre E-Mail-IDs, ihren Veranstaltungsnamen, Veranstaltungsdetails, Ort, Meeting-Links, Zoom-Meeting-Links, Google-Tangout-Links, interne Präsentationslinks und vieles mehr enthüllen", sagt Avinash in einem Beitrag, der exklusiv mit The Hacker News geteilt wird.

Nun, da es sich um ein beabsichtigtes Verhalten des Kalenderdienstes handelt, das als praktische Funktion zur Zusammenarbeit mit Menschen dient, indem man einen Kalender veröffentlicht, kann man Google nicht direkt für die exponierten Daten verantwortlich machen.

"Während dies eher eine beabsichtigte Einstellung der Benutzer und das beabsichtigte Verhalten des Dienstes ist, aber das Hauptproblem hier ist, dass jeder jeden öffentlichen Kalender ansehen und hinzufügen kann - nur durch eine einzige Suchanfrage, ohne den Kalenderlink zu teilen", sagt Avinash.

Außerdem ist das Problem wirklich nicht neu, sondern wurde erstmals vor 12 Jahren angesprochen, als Google diese Funktion "make it public" zu seinem webbasierten Kalenderdienst hinzufügte, um den Nutzern eine coole Möglichkeit zu bieten, aufregende Ereignisse über die Suchmaschinen zu entdecken, aber ein paar schnelle Suchvorgänge enthüllten sensible Unternehmensinformationen, die versehentlich mit Google Calendar veröffentlicht wurden.

Da Google den Ersteller eines öffentlichen Kalenders nicht benachrichtigt, wenn jemand darauf zugreift oder ein Ereignis hinzufügt, erschwert die Funktion es den Nutzern zu wissen, ob sie unbeabsichtigt Informationen preisgeben und sogar für Spammer und Phisher offen sind.

Außerdem gibt es auch keine grafische Anzeige auf der Kalenderoberfläche, von der aus Benutzer einen Hinweis erhalten können, dass sie diesen Kalender öffentlich gemacht haben und keine persönlichen Ereignisse mehr hinzufügen sollten.

Mit einer erweiterten Google-Suchanfrage (Google Dork) kann man innerhalb von Sekunden alle öffentlich zugänglichen Kalender auflisten und auf alle Informationen zugreifen, einschließlich sensibler Unternehmensdaten einiger Unternehmen, wie die Screenshots von Avinash zeigen.

"Verschiedene Kalender gehörten auch zu vielen der 500 Mitarbeiter des Alexa-Unternehmens, die absichtlich/absichtlich vom Mitarbeiter selbst veröffentlicht wurden", warnt Avinash.

Vor einigen Monaten entdeckte die Sicherheitsfirma Kaspersky auch Betrüger, die den Google-Kalender-Service missbrauchen, um Benutzer mit Angriffen auf Berechtigungsnachweise anzusprechen, bei denen Phisher den Opfern eine E-Mail mit einer handwerklich gestalteten Event-Einladung mit bösartigen Links schickten.

Für den Fall, dass ein Benutzer einen Kalender mit jemandem privat teilen möchte, erlaubt Google den Benutzern auch, bestimmte Benutzer einzuladen, indem sie ihre E-Mail-Adressen unter Kalendereinstellungen hinzufügen, anstatt sie der Öffentlichkeit zugänglich zu machen.