اخیرا یکی از محققان امنیتی هندوستان به نام Avinash Jain، که در شرکت تجارت الکترونیکی Grofers مشغول به کار است، متوجه شده است، Google Calender اطلاعات شخصی بیش از ۸۰۰۰ کاربر را از طریق جستجو در گوگل در دسترس عموم قرار داده است. علاوه بر آن، امکان ثبت رویداد جدید در Google Calender توسط افراد متفرقه نیز وجود دارد. کشف آسیب پذیری های پلتفروم های ناسا، گوگل، جیرا و یاهو بخشی از رزومه Avinash Jain می باشد.

به دلیل آنکه این ویژگی اشتراک گذاری، به منظور سهولت در ارتباط و همکاری با  دیگران در Google Calender تعیبه شده است. بنابراین نمیتوان گوگل را مقصر این نشت اطلاعات دانست.

لازم به ذکر است این آسیب پذیری قبلا نیز مطرح شده بود. ۱۲ سال پیش، زمانی که گوگل برای اولین بار ویژگی جدید “make it public” را در تقویم مبتی بر وب خود، به عنوان یک روش جالب برای کشف رویدادهای هیجان انگیز از طریق موتورهای جستوجو منتشر کرد، بلافاصله متوجه انتشار ناخواسته اطلاعات حساس کاربران شد.

با توجه به اینکه ایجاد رویداد جدید توسط افراد متفرقه در تقویم به صاحب آن اطلاع داده نمیشود، احتمال آلوده شدن تقویم به هرزنامه و فیشینگ افزایش پیدا میکند.

متاسفانه هیچ اخطاری در برنامه مبنی بر عمومی بودن تقویم و متوقف کردن انتشار رویدادهای شخصی به صاحب آن داده نمیشود.

با استفاده از یک جستجوی پیشرفته گوگل (Google Dork) میتوان در عرض چند ثانیه به کلیه اطلاعات منتشر شده از جمله اطلاعات حساس امنیتی متعلق به برخی از سازمان ها دسترسی پیدا کرد.

چند ماه پیش، شرکت امنیتی Kaspersky اعلام کرد که عده ای سودجو با سو استفاده از Google Calendar و ارسال ایمیل هایی شامل لینک های مخرب، کاربران را هدف قرار داده و اطلاعات حساب و گذرواژه های آن‌ها را به سرقت برده اند.

گوگل امکان اشتراک گذاری تقویم به صورت خصوصی، تنها با اضافه کردن آدرس ایمیل اشخاص مورد نظر به تنظیمات، را فراهم کرده است.