Cyberthreat.id - "Awas – Membuat kalender Anda menjadi publik maka semua acara terlihat oleh dunia, termasuk melalui pencarian Google. Apakah Anda yakin?"

Ingat peringatan keamanan ini? Tidak? 

Jika Anda pernah membagikan Google Calendars, atau mungkin secara tidak sengaja, dengan seseorang yang seharusnya tidak dapat diakses publik lagi, maka segeralah kembali ke pengaturan Google dan periksa apakah Anda mengekspos semua acara dan aktivitas bisnis di Internet yang dapat diakses siapa saja.

“Ada lebih dari 8000 Google Calendars, yang dapat diakses secara publik, yang memungkinkan siapa saja untuk tidak hanya mengakses detail sensitif yang disimpan padanya, tetapi juga menambahkan acara baru dengan informasi atau tautan yang dibuat dengan cara jahat,” kata peneliti keamanan Avinash Jain kepada The Hacker News, Selasa (17 September).

Avinash Jain adalah seorang peneliti keamanan dari India yang bekerja di perusahaan e-commerce, Grofers, yang sebelumnya menemukan kerentanan di platform lain seperti NASA, Google, Jira, dan Yahoo.

"Saya dapat mengakses kalender publik dari berbagai organisasi yang membocorkan detail sensitif seperti id email mereka, nama acara, detail acara, lokasi, tautan rapat, tautan rapat zoom, tautan hangout google, tautan presentasi internal, dan banyak lagi," kata Avinash dalam sebuah pos yang secara eksklusif dibagikan untuk The Hacker News.

Ya, karena perilaku yang dimaksudkan dari Layanan Kalender yang datang sebagai fitur praktis untuk berkolaborasi dengan orang-orang dengan membuat Kalender menjadi publik, orang tidak dapat langsung menyalahkan Google untuk data yang terbuka.

"Meskipun ini lebih merupakan pengaturan yang dimaksudkan oleh pengguna dan perilaku layanan yang dimaksudkan tetapi masalah utama di sini adalah bahwa siapa pun dapat melihat kalender publik siapa pun, tambahkan apa saja di dalamnya — hanya dengan satu permintaan pencarian tanpa dibagikan tautan kalender," kata  Avinash.

Sebetulnya masalah ini bukan hal baru. Pertama kali diangkat 12 tahun lalu ketika Google menambahkan fitur “make it public” ini ke layanan kalender berbasis web. Semula ini dianggap cara keren bagi pengguna menemukan acara menarik melalui mesin pencari, tetapi kemudian terungkap informasi sensitif perusahaan yang secara tidak sengaja dipublikasikan menggunakan Google Calendars.

Seperti kata peneliti, karena Google tidak memberi tahu pembuat kalender publik ketika seseorang mengaksesnya atau menambahkan acara ke dalamnya, fitur ini mempersulit pengguna untuk mengetahui apakah mereka mengekspos informasi secara tidak sengaja dan bahkan terbuka untuk spammer dan phisher.

Selain itu, juga tidak ada indikasi grafis pada antarmuka kalender dari mana pengguna dapat memperoleh petunjuk bahwa mereka telah membuat kalender itu menjadi publik dan harus berhenti menambahkan acara pribadi yang sama.

Menggunakan kueri pencarian Google canggih (Google Dork), seseorang dapat mendaftar semua kalender yang tersedia untuk umum dalam hitungan detik dan mengakses setiap informasi, termasuk data perusahaan yang sensitif milik beberapa organisasi, seperti tangkapan layar yang dibagikan oleh Avinash.

"Berbagai kalender milik 500 karyawan teratas perusahaan Alexa juga, yang sengaja atau tidak sengaja dipublikasikan oleh karyawan itu sendiri," Avinash memperingatkan.

Beberapa bulan lalu, perusahaan keamanan Kaspersky menemukan scammer menyalahgunakan layanan Kalender Google untuk menargetkan pengguna dengan serangan pencurian kredensial, di mana phisher mengirimi korban sebuah email berisi undangan acara yang dibuat dengan tautan berbahaya.

Jika pengguna ingin berbagi Kalender dengan seseorang secara pribadi, Google juga memungkinkan pengguna mengundang pengguna tertentu dengan menambahkan alamat email mereka di bawah pengaturan Kalender, alih-alih membuatnya dapat diakses oleh publik.[]