A Google különböző eszközeit szinte minden felhasználó ismeri, sőt, rengeteg cég használja is. Kényelmes, egyszerű és egy bizonyos szintig ingyenes, ráadásul a dokumentumokat és egyéb információkat egyszerű megosztani - néha könnyebb is, mint amilyennek lennie kellene. A közelmúltban a cég azért került támadások kereszttüzébe, mert kiderült, sokan tudtukon kívül tették nyilvánossá a naptárukat. A Google Calendar bejegyzései így akár a Google keresési találatokban is szerepelhetnek, kiteregetve ezzel egy sor, nagyon érzékeny adatot a felhasználókról.
Nem adatszivárgás, de majdnem az
Nem csak a Google naptár, de több más alkalmazás, például a Táblázatok (Spreadsheets) és a Dokumentumok (Docs) is lehetőséget adnak arra, hogy a felhasználó egy linken keresztül bárki számára hozzáférhetővé tegye az adott fájlt vagy felületet. A funkciót sokan használják. Egy Facebook csoportban vagy levelezőlistán ez az egyik legegyszerűbb módja annak, hogy megosszunk egy dokumentumot úgy, hogy azt tényleg bárki szerkeszthesse és ne kelljen egyenként hozzáférést adni a jelentkezőknek.
A közelmúltban azonban egy kutató rámutatott: rengeteg felhasználó nincs tisztában a megosztási beállításokkal, illetve azzal, hogy a “bárki” ebben az esetben tényleg mindenkit jelent. Ez a probléma a legkellemetlenebb módon a Google Calendar-nál jelentkezik. Bár a program figyelmeztet, hogy a naptár mostantól nyitott és bárki számára elérhető, sokan nem törődnek ezzel az információval, vagy nem teljesen értik, miről is van szó.
Avinash Jain szerint sokan ebben a pillanatban sincsenek tisztában azzal, hogy a naptárjuk nyilvános és akár egy egyszerű kereséssel is fellelhetőek az abban tárolt események az interneten. A határidőnapló megosztása több okból sem célszerű. A teljesség igénye nélkül például:
- információt adhat a betörőknek arról, mikor nem tartózkodik otthon valaki.
- céges adatokat, titkokat tartalmazhat - például egy termék bemutatójának időpontját, vagy tárgyalásokat olyan potenciális ügyfelekkel, akiket a konkurencia is megkörnyékezhet
- személyes adatokat rögzíthet - visszakereshető belőle a kocsi kötelező biztosításának lejárta, a gyerekek születésnapja és sok más érzékeny információ, amivel akár fiókokat is fel lehet törni
Ám a helyzet kissé faramuci: ugyanis a szó szoros értelmében nem biztonsági résről vagy adatszivárgásról beszélünk, hiszen a felhasználó maga dönthet arról, hogy megosztja-e a tartalmait, vagy sem. A pajzson mégis rés támadhat, hiszen a kritikus adatok kikerülnek az ellenőrzésük alól.
A Google naptár kapcsán valószínüleg sokunknak van személyes története, ami lehet vicces: például kitudódik egy meglepetés buli, vagy éppen lehet igen kellemetlen is annak tartalmától függően. Saját élményünk egyike volt például az egyetemen, amikor a csoportos projektek menedzseléséhez a tantárgyat oktató tanárnőnk létrehozott egy közös Google naptárat, ám mivel figyelmetlenségből vagy tudatlanságból a személyes naptárát tette nyilvánossá, a projekt tervezett hossza mellett megosztotta velünk a fogyókúra naptárát is, amit, mint utólag kiderült a teljes egyetemi kar számára elérhetővé tett. Az ilyen és hasonló problémák nem csak mentális károkat okozhatnak a felhasználóknak, de adathalászatra is remekül használhatóak.
Nehéz helyzetben a tech cégek
Bár a botrányok leghangosabban a Google-t érintik, nem a tech óriás alkalmazásai az egyetlenek, ahol a felhasználók könnyen túl sok információt oszthatnak meg a nyilvánossággal. A kockázatos applikációkról már írtunk korábban, de ezeknél sokkal jobban ellenőrzött felületeken is fennáll a véletlen megosztás esélye.
Rengeteg cég még mindig szinte teljesen nyilvános szolgáltatásokat használ akár a belső kommunikációhoz is. Zárt Facebook csoportokat, linken keresztül megosztható chat-szobákat, ingyenes fájlmegosztó alkalmazásokat. Ilyen esetekben szinte csak idő kérdése, hogy valamilyen kellemetlenség történjen.
A Zoom botrányával részletesebben is foglalkoztunk, de nemrég a Jira szolgáltatásairól is kiderült: hasonló beállítási hibák miatt rengeteg adatot szivárogtatott ki. A felhő alapú, webes szolgáltatásoknál a véletlen nyilvános megosztás valós és komoly kockázatot jelent - érdemes tehát úgy alakítani a vállalat belső szabályzatát, hogy lehetőleg elejét lehessen venni a problémának.
Van megoldás?
Természetesen nem mindenki teheti meg, hogy abbahagyja a Google Calendar és más, hasonló termékek használatát. De a biztonság érdekében bármikor be lehet vezetni pár szabályt. Ezeket pedig nem csak a céges világban, hanem a magánéletben sem árt betartani:
- Legyünk tisztában a felhasználási és megosztási feltételekkel!
- Sehol ne adjunk meg túl sok információt! Az érzékenyebb eseményekre használjunk nyugodtan saját kódneveket. ( “Termék 2.0 bemutató” helyett például: Hamupipőke 2.0 debut”)
- Kerüljük a linken keresztüli megosztást!
Természetesen ezek a szabályok csak a biztonság nulladik szintjét jelentik. A véletlen megosztások elkerülésének egyik legjobb módja például, ha olyan információ megosztási protokollokat használunk, ahol eleve kevesen férnek hozzá a fontosabb dokumentumokhoz, és csak a megfelelő jogosultsággal rendelkezők tudnak megosztani kritikus adatokat.
Nagyon sokat segít az is, ha a cégen (vagy akár családon) belüli kommunikációt az óriások platformjairól szabad szoftveres alternatívákra tereljük át. Ezáltal sokkal kisebb az esély arra is, hogy a privát és a céges élet összefolyik, és az ellenőrzött céges adatok az ellenőrizhetetlen nyilvános platformok felé áramoljanak.
A belső hálózatok és a tartalom-megosztási stratégia kialakítását általában érdemes külsős szakértőre bízni. Mi is szívesen ellenőrzünk és alakítunk ki ilyen rendszereket, hiszen több éves tapasztalatunknak hála nem csak a technikát, hanem a felhasználói szokásokat is jól ismerjük. A biztonságos rendszer kiépítése olyan hosszútávú befektetés, amit érdemes a kezdetektől fogva a helyes irányelvek mentén kidolgozni.