1 miliardo e mezzo di account a rischio: il chiarimento Google
La rivista economica statunitense fa notare come non sia ancora stato risolto una possibile vulnerabilità risalente al 2017. Google minimizza e dà la soluzione
Circa un miliardo e mezzo di account Google sono a rischio phishing, ma per Mountain View si tratterebbe solo di spam e, comunque, la società sta lavorando per risolvere il problema. Che risale al 2017. Questa, in sintesi, la vicenda raccontata da Forbes, giornale al quale Google in passato ha risposto minimizzando il problema. Adesso, però, è arrivato un chiarimento ufficiale.
La vicenda nasce nel 2017, quando due ricercatori di Black Hill Information Security scoprono una vulnerabilità in Google Calendar che, se ben sfruttata, consentirebbe agli hacker di mettere in atto un attacco contro oltre un miliardo di account Google, al fine di rubare le credenziali e altri dati sensibili (anche bancari) agli utenti. Google all’epoca non risolse il problema, affermando che il fix avrebbe ridotto eccessivamente le funzionalità di Calendar. A giugno 2019, Forbes torna alla carica dimostrando che la vulnerabilità è ancora lì e che 1,5 miliardi di utenti Gmail sono a rischio attacco.
Come funziona l’attacco a Google Calendar
Google Calendar permette a chiunque di programmare un evento insieme a qualunque altro utente e, poiché Calendar è strettamente integrato con Gmail, quando qualcuno ci inserisce in un evento noi riceviamo una notifica pop up sullo smartphone. Dentro questa notifica, inviata automaticamente dalla stessa Google (e per questo apparentemente sicura), un hacker potrebbe inserire un link ad un sito esterno.
In questo sito, che non ha nulla a che fare con Google, l’hacker potrebbe chiederci di inserire i nostri dati personali, il nostro nome utente e password o persino i dati della nostra carta di credito. Google ha sempre classificato tutto ciò come spam, ma è chiaro che Calendar può diventare uno strumento per fare phishing a tappeto.
Il chiarimento di Google
In un post pubblicato sul forum di supporto a Calendar, il dipendente di Google Lesley Pace ha dichiarato: “Siamo al corrente del possibile spam in Calendar e stiamo lavorando seriamente per risolvere questo problema“. Google, quindi, ancora oggi parla di spam ma, almeno, nello stesso post Pace ha inserito un link alla pagina dell’help di Calendar tramite la quale è possibile segnalare i messaggi spam inviati tramite Calendar.
Come difendersi dagli attacchi tramite Calendar
Nella stessa pagina per segnalare lo spam, c’è anche la spiegazione su come minimizzare i rischi di attacco da parte degli hacker. Dobbiamo aprire il nostro Calendar e poi andare sulle Impostazioni. Quindi, nella sezione “Aggiungi automaticamente gli inviti“, dobbiamo scegliere “No, mostra solo gli inviti a cui ho risposto”. Infine, più sotto nella stessa pagina, dobbiamo rimuovere la spunta dalla casella “Aggiungi automaticamente eventi da Gmail al mio calendario“.
