Falsch konfiguriert: Tausende Google-Kalender offen zugänglich

Weil Tausende Nutzer ihre Google-Kalender zu leichtsinnig konfigurieren, sind diese öffentlich zugänglich. Ein Sicherheitsexperte fand viele private Termine.

In Pocket speichern vorlesen Druckansicht 173 Kommentare lesen
Google Kalender: Tausende Kalender offen zugänglich

Wer seinen Google-Kalender öffentlich freigibt, bekommt eine deutliche Warnung zu lesen. Doch viele Nutzer haben sie offenbar ignoriert.

Lesezeit: 3 Min.

Tausende Nutzer des Google-Kalenders teilen ihre Termine und andere Inhalte mit der Öffentlichkeit – offenbar, ohne es zu wissen. Die Termine werden von Suchmaschinen indexiert und können auch E-Mail-Adressen enthalten. Schuld daran ist eine leichtsinnige Fehlkonfiguration des Google-Kalenders: Sie sorgt dafür, dass der Kalender frei zugänglich ist. Jede Person, die den Link hat, kann die Termine einsehen. Außerdem helfen Suchmaschinen, die Kalender zu finden.

Standardmäßig sind die Google-Kalender auf privat gestellt, betont Google. Nur der jeweilige Besitzer hat also Zugriff darauf. Anwender können den Kalender aber auch für Familienmitglieder, Freunde oder Kollegen freigeben. Zudem ist es möglich, ihn öffentlich zu machen. In diesem Fall zeigt Google einen deutlichen Hinweis an: "Durch die Veröffentlichung Ihres Kalenders werden alle Termine für sämtliche Google-Nutzer auch über die Google-Suche sichtbar. Möchten Sie das wirklich?"

Eigentlich eindeutig – doch tausende Nutzer haben die Warnung offenbar ignoriert und ihre Kalender eben auch für Suchmaschinen geöffnet. Sogar Unternehmen haben den Hinweis ignoriert. Und am Ende "geben sie geschäftsrelevante Informationen an die Welt weiter", schreibt Bleeping Computer. Dieser Umstand war dem Sicherheitsforscher Avinash Jain aufgefallen. Und so machte er sich auf die Suche nach privaten Kalendern, die (versehentlich) für die Öffentlichkeit freigegeben waren.

Mit zusätzlichen Suchparametern – auch bekannt als "Google Hacking" oder "Google Dorks" – ließen sich via Google zahlreiche Meetings, Besprechungen, Termine, interne Informationen und Links finden. "Dorks" (Trottel) bezieht sich auf Seitenbetreiber, die sich nicht genügend Gedanken über die Sicherheit ihrer Daten gemacht haben. Der Begriff geht auf Johnny Long zurück, der bereits im Jahr 2002 Suchparameter nutzte, um ungeschützte Informationen im Netz zu finden. In der Gegenwart fand Avinash Jain mehr als 200 Kalender, die eigentlich privat sein sollten, deren Informationen aber öffentlich zugänglich waren. Zuvor hatte der Sicherheitsexperte, der sonst im E-Commerce tätig ist, fehlkonfigurierte Jira-Server aufgespürt, die auch von großen Firmen wie Google, Lenovo und Yahoo genutzt wurden.

In einem ausführlichen Blog-Eintrag beschreibt Jain nun, wie er die Google-Kalender im Netz aufspürte, und liefert einen Proof of Concept. Die Suche beginnt mit einer allgemeinen Anfrage: inurl:https://calendar.google.com/calendar?cid=. Sie förderte bereits mehr als 7.000 Ergebnisse zutage, schreibt Bleeping Computer. (Inzwischen sind laut Google "keine Informationen" verfügbar.) Im nächsten Schritt waren Handarbeit und Geduld gefragt, um private Termine zu finden. Jain entdeckte beispielsweise sensible Einträge von einer Arztpraxis. Auch eine gezielte Suche ist möglich, wenn die E-Mail-Adresse des Kalender-Nutzers bekannt ist: https://calendar.google.com/calendar/b/1/r?cid=example@email.com.

Avinash Jain hat Google über den Zustand informiert. Das Unternehmen erklärte, dass der Dienst genau so funktionieren solle. Ein öffentlicher Kalender ist eben: öffentlich. Es liegt in der Verantwortung der Nutzer, ihre Daten zu schützen. In den Einstellungen gibt es Möglichkeiten, einen Kalender semi-öffentlich zu machen. Google erklärt die verfügbaren Freigabeoptionen auf einer Hilfe-Seite. Etwaige Warnhinweise sollten Nutzer lieber lesen und nicht blind abnicken. (dbe)