数千个谷歌日历可能会在网上泄露私人信息

还记得这个安全警告吗？

如果你曾与不应再公开访问的人共享过谷歌日历，或者可能是无意中共享过，你应该立即返回谷歌设置，检查你是否在互联网上公开了所有活动和商业活动，任何人都可以访问。

安全研究人员阿维纳什·贾因告诉《黑客新闻》，在撰写本文时，有8000多个可公开访问的谷歌日历，可以使用谷歌引擎本身进行搜索，这样，任何人不仅可以访问保存在日历上的敏感细节，还可以添加带有恶意制作的信息或链接的新事件。
在一家电子商务公司工作的印度安全研究员阿维纳什·贾恩（Avinash Jain）曾在NASA、谷歌、Jira和雅虎等其他平台上发现漏洞。

阿维纳什在与《黑客新闻》独家分享的一篇帖子中说：“我能够访问各个组织的公共日历，这些日历泄露了敏感的细节，比如他们的电子邮件ID、活动名称、活动细节、位置、会议链接、缩放会议链接、谷歌社交链接、内部演示链接等等。”。

好吧，既然它是日历服务的预期行为，是通过公开日历与人协作的便捷功能，那么就不能直接将暴露的数据归咎于谷歌。

阿维纳什说：“虽然这更多是用户的预期设置和服务的预期行为，但这里的主要问题是，任何人都可以查看任何公共日历，在其上添加任何内容—；只需一次搜索查询，而无需共享日历链接。”。

此外，这个问题其实并不新鲜，而是在12年前首次提出的，当时谷歌在其基于网络的日历服务中添加了这个“公开”功能，作为用户通过搜索引擎发现激动人心的事件的一种很酷的方式，但一些快速搜索揭示了一些敏感的公司信息，这些信息是在无意中使用谷歌日历公开的。

正如研究人员所说，由于谷歌在有人访问公共日历或向日历中添加事件时不会通知日历的创建者，因此该功能让用户更难知道他们是否无意中泄露了信息，甚至还对垃圾邮件发送者和钓鱼者开放。

除此之外，日历界面上也没有图形指示，用户可以从中得到提示，他们已经公开了日历，应该停止向日历添加个人事件。

使用高级谷歌搜索查询（Google Dork），你可以在几秒钟内列出所有公开可用的日历，并访问所有信息，包括属于某些组织的敏感公司数据，如Avinash共享的屏幕截图所示。

阿维纳什警告说：“Alexa公司的许多500强员工也有各种日历，这些日历是由员工自己有意/无意地公开的。”。

几个月前，安全公司卡巴斯基（Kaspersky）还发现骗子滥用谷歌日历服务，以窃取用户凭证的攻击为目标，钓鱼者向受害者发送电子邮件，其中包含精心制作的带有恶意链接的活动邀请。

如果用户想私下与某人共享日历，谷歌还允许用户通过在日历设置下添加他们的电子邮件地址来邀请特定用户，而不是让公众可以访问他们。