Các chuyên gia bảo mật vừa khuyến cáo nếu có sử dụng Google Calendar, bạn hãy lập tức vào phần Setting để kiểm tra xem dữ liệu của mình có bị công khai trên Internet hay không.
Nếu bạn từng chia sẻ lịch trình hoặc sự kiện với một ai đó, dù vô tình hay chủ động thì dữ liệu của bạn vẫn có nguy cơ bị công khai. Tại thời điểm viết, có hơn 8.000 tài khoản bị rò rỉ có thể tìm thấy bằng công cụ tìm kiếm của Google. Bất kỳ ai cũng có thể truy cập vào những thông tin riêng tư được người dùng lưu trên hệ thống, thậm chí còn có thể thêm sự kiện mới cùng những thông tin và liên kết độc hại.
Người phát hiện ra lỗi này là Avinash Jain, nhà nghiên cứu bảo mật Ấn Độ, trước đây anh từng tìm thấy nhiều lỗ hổng trong các nền tảng khác của NASA, Google, Jira và Yahoo.
“Tôi có thể truy cập lịch công khai của nhiều tổ chức khác nhau và biết được những thông tin nhạy cảm như ID email, tên và chi tiết sự kiện, địa điểm diễn ra, đường đến cuộc họp, liên kết báo cáo nội bộ…”, Jain chia sẻ với The Hacker News.
Google Calendar có nhiều tính năng hữu ích để mọi người, cơ quan hoặc tổ chức có thể chia sẻ thông tin công khai và cộng tác với nhau. Thế nên người dùng không thể đổi lỗi trực tiếp cho Google về những dữ liệu bị lộ. Vấn đề chính là ai cũng có thể xem lịch trình công khai chỉ bằng một truy vấn tìm kiếm, không cần được người dùng chia sẻ liên kết. Tin tặc có thể lợi dụng điều này để thêm sự kiện kèm các liên kết độc hại vào bất kỳ tài khoản nào.
Vấn đề này không mới và đã được chia sẻ lần đầu cách đây 12 năm nhưng vẫn chưa được khắc phục triệt để. Google bổ sung tiện ích này và chuyển thành tính năng công khai trên nền tảng web để hỗ trợ người dùng khám phá các sự kiện thú vị thông qua các công cụ truy vấn. Tuy nhiên một vài tìm kiếm nhanh đã tiết lộ thông tin nhạy cảm khi dữ liệu vô tình được công khai trên Google Calendar.
Theo Jain, nguyên nhân vấn đề là do Google không thông báo rõ ràng cho người dùng hiểu rằng khi họ tạo Lịch công khai thì những người khác hoàn toàn có thể truy cập hoặc thêm sự kiện vào đó. Việc người dùng không hiểu rõ ứng dụng đã vô tình mở ra kẻ hở cho những kẻ lừa đảo tấn công bằng thư rác hoặc liên kết độc hại.
Bên cạnh đó, Google Calendar cũng không có chỉ dẫn đồ họa trên giao diện để cho người dùng biết tài khoản của họ đang được công khai và cảnh báo nên ngừng thêm sự kiện cá nhân khi ở chế độ này.
Khi sử dụng truy vấn tìm kiếm nâng cao của Google (Google Dork), ai cũng có thể liệt kê tất cả dữ liệu Calendar công khai chỉ trong vài giây, đồng thời truy cập mọi thông tin, gồm dữ liệu nhạy cảm của một số tổ chức, công ty. Ví dụ như hình dưới
Vài tháng trước, công ty bảo mật Kaspersky cũng phát hiện ra trường hợp tin tặc lạm dụng kẻ hở trong dịch vụ Google Calendar để đánh cắp thông tin xác thực của người dùng. Những kẻ lừa đảo đã gửi cho nạn nhân nhiều email mời sự kiện kèm theo các liên kết độc hại để dẫn dụ người dùng nhấp vào.
Lưu ý, khi cần chia sẻ lịch trình trong Google Calendar với người khác một cách riêng tư, bạn có thể thêm địa chỉ email của họ trong phần cài đặt của ứng dụng, thay vì cho phép truy cập công khai.
Theo The Hacker News