Une option de configuration de Google Calendar peut aboutir à une fuite d’informations sensibles

Une option de configuration de Google Calendar peut aboutir à une fuite d’informations sensibles

Un chercheur en sécurité informatique a découvert que l’option de partage d’agenda de Google Calendar pouvait aboutir à l’exposition d’informations sensibles.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détails ce service sur xmco.fr et testez le gratuitement et sans engagement sur leportail.xmco.fr.

 

Cette option permet à l’utilisateur de partager l’accès à son agenda à d’autres utilisateurs en leur fournissant une URL spécifique.

Selon le chercheur, les utilisateurs auraient tendance à penser que seuls les utilisateurs auxquels ils ont partagé le lien peuvent avoir accès à leur agenda.
Or, lorsque cette option est activée, l’agenda est indexé par le moteur de recherche de Google et peut donc être retrouvé sans connaissance préalable du lien de partage.

Le chercheur a utilisé une option de recherche avancée de Google qui lui a permis de découvrir plus de 200 agendas exposés.
Il a pu extraire des informations sensibles à partir des éléments présents dans ces agendas, comme des adresses email ou des informations internes de différentes entreprises.

En fonction des options de configuration de ces agendas, il pourrait également être possible d’y ajouter des évènements.

Certains agendas exposés appartiennent à des employés d’entreprises du top 500 Alexa.


Référence

Ok Google! Please reveal everyone’s public calendar.

Référence XMCO

CXN-2019-4320


Arthur Gautier