تسريب بيانات آلاف من مستخدمي تقويم جوجل
أوصى خبراء الأمن الأشخاص الذين يستخدمون خدمة “Google Calendar“، بالانتقال فورا إلى قسم “الإعدادات” للتحقق مما إذا كانت بياناتهم العامة منتشرة على الإنترنت أم لا.
وإذا سبق لك أن شاركت جدولًا أو حدثًا مع شخص ما، سواء عن طريق الخطأ أو بشكل استباقي، فإن بياناتك لا تزال في خطر في حالة كانت عامة. في وقت كتابة هذا التقرير، كان هناك أكثر من 8,000 حساب مسرب يمكن العثور عليه باستخدام محرك بحث جوجل.
ويمكن لأي شخص الوصول إلى المعلومات الخاصة المخزنة على النظام من قبل المستخدمين، ويمكن حتى إضافة أحداث جديدة والبيانات والروابط الخبيثة. الشخص الذي اكتشف هذه الثغرة هو باحث هندي في مجال الأمن يدعى “أفيناش جاين” الذي سبق وأن وجد ثغرات أمنية في منصات أخرى مثل ناسا، جوجل، ياهو وجيرا.
ويحتوي تقويم جوجل على العديد من المزايا المفيدة حتى يتمكن الأشخاص أو الوكالات أو المؤسسات من مشاركة المعلومات بشكل عام، والتعاون مع بعضهم البعض. لذلك، لا يمكن للمستخدمين تغيير وضعية حسابهم مباشرة في جوجل بسبب البيانات التي تم الكشف عنها.
والمشكلة الرئيسية هي أنه يمكن لأي شخص الاطلاع على الجدول العام من خلال عملية بحث واحدة فقط، ولا حاجة للمستخدمين لمشاركة الروابط. يمكن للمتسللين الاستفادة من هذا لإضافة أحداث ذات روابط ضارة إلى أي حساب.
ووفقًا لجاين، فإن سبب المشكلة هو أن جوجل لا تُعلم المستخدمين بشكل صريح أنه عند إنشاء تقويم عام، يمكن للأشخاص الآخرين الوصول إلى الأحداث أو إضافتها إليها. حقيقة أن المستخدم لا يعلم أن التطبيق قد فتح عن غير قصد الفتحات للمخترقين باستخدام البريد العشوائي أو الروابط الضارة.
وبالإضافة إلى ذلك، لا يحتوي تقويم جوجل أيضًا على إرشادات بيانية على الواجهة للسماح للمستخدمين بمعرفة حساباتهم بشكل عام، وتحذيرهم من التوقف عن إضافة أحداث شخصية أثناء وجودهم في هذا الوضع.
وعند استخدام استعلام البحث المتقدم من جوجل (Google Dork)، يمكن لأي شخص سرد جميع بيانات التقويم العامة في ثوانٍ، والوصول إلى جميع المعلومات، بما في ذلك البيانات الحساسة لبعض المنظمات والشركات. على سبيل المثال، كما هو موضح أدناه:
وقبل بضعة أشهر، اكتشفت شركة الأمن Kaspersky أيضًا أن مخترقين يسيئون استخدام الثغرات في خدمة تقويم جوجل، لسرقة بيانات اعتماد المستخدم. لقد أرسل المحتال إلى الضحايا العديد من رسائل البريد الإلكتروني الخاصة بالفعاليات التي تحتوي على روابط ضارة لإغراء المستخدمين للنقر عليها.
ملاحظة، عندما تحتاج إلى مشاركة جدول تقويم جوجل الخاص بك مع الآخرين بشكل خاص، يمكنك إضافة عناوين بريدهم الإلكتروني في إعدادات التطبيق، بدلاً من السماح بوصولها للجمهور.