© Google

Digital Life
09/18/2019

Tausende Google Kalender öffentlich einsehbar

Falsche Konfigurationen lassen zu, dass persönliche Termine und Daten über Suchmaschinen abrufbar sind.

Nutzer des Google Kalenders scheinen unabsichtlich ihre Kalenderdaten mit der Öffentlichkeit geteilt zu haben. Die Kalender sind standardmäßig zwar auf "privat" gestellt. Wenn man aber einen Kalender mit anderen Personen teilen möchte, muss man diese Einstellungen ändern. Einige Nutzer stellten inzugedessen den Kalender versehentlich auf „öffentlich". Dieser Umstellung geht zwar eine ausdrückliche Sicherheitswarnung von Google voraus, diese wurde aber offenbar von tausenden Nutzern ignoriert und ihre Daten wurden offen zugänglich.

Der Sicherheitsexperte Avinash Jain machte auf die Problematik aufmerksam. Er nutze dafür einen sogenannten Google Dork oder Google Hack, also zusätzliche Suchparameter, mit denen Cyberangriffe durchgeführt werden können. Die Suche ergab eine lange Liste an Terminen und Kontakten von Google Nutzern, die ihren Kalender öffentlich gestellt hatten. 

Suchmaschine erfasst Termine

Die Grundlage für die Suchergebnisse ist die Indexierung der öffentlichen Inhalte. Sobald sie nicht mehr als privat gelten, werden sie von der Suchmaschine erfasst und können auch in den Suchergebnissen gefunden werden. Einige davon enthalten laut Jain auch sensible Firmendaten. 

In seinem Blogeintrag veröffentlichte Jain, dass diese Kalender mit dem Suchparameter "inurl:https://calendar.google.com/calendar?cid=" auffindbar waren. Inzwischen ist das aber nicht mehr möglich. Jain konnte zudem über private E-Mail-Adressen auf Google Kalender zugreifen, wenn dieser öffentlich war. Er nutze dafür die Suche und gab die URL "https://calendar.google.com/calendar/b/1/r?cid=example@email.com" ein. So konnte er eine Vielzahl an Mailadressen testen.

Firmendaten veröffentlicht

Die Funktion, einen Kalender öffentlich zu stellen, ist von Google gewünscht. Nutzer müssen die Umstellung auf einen öffentlich zugänglichen Kalender manuell vornehmen und aufmerksam die Sicherheitswarnung lesen. Das nicht alle Nutzer darauf achten, zeigte sich im Jänner, als ein Hacker das E-Commerce Unternehmen Shopify darauf aufmerksam machte, dass ein Angestellter unbewusst sensible Firmendaten über den Google Kalender veröffentlichte. Das Unternehmen bezahlte dem Hacker eine Prämie von 1.500 US-Dollar dafür, dass er den Kalender entdeckte und meldete.