個人開発で Hackaru を開発している ktmouk です。
Hackaruの「Googleカレンダー連携」機能について、セキュリティに関する問題がございましたのでご連絡いたします。

セキュリティの問題

1. 同期にHTTPプロトコルが使用される問題 (Outlook、Googleカレンダーに連携した場合のみ)

カレンダー連携機能について、2022/09/08までの間、連携する際に使用するプロトコルが「webcal」になっており、その場合「Outlook」と「Googleカレンダー」の連携において、非暗号化のHTTPプロトコルを使って同期される問題がありました。（Appleの標準カレンダーの場合はHTTPSで同期されることを確認。）
そのため、例えば、Outlookの場合、フリーWi-Fiにつないだ状態でカレンダー同期を走らせた場合にカレンダー連携用のURLが盗聴されるリスクがありました。（Googleカレンダーの場合、GoogleのサーバとHackaruのサーバ間で連携が走るため、フリーWi-Fiのケースによるリスクはありませんが、HTTPが使われるという点では盗聴のリスクがありました。）

 2. 一般公開用のリンクが生成される問題 (Googleカレンダーに連携した場合のみ)

2022/09/08までの間、Googleカレンダー連携方法において、ユーザの手数を効率化するために下記のURLを利用してワンクリックでGoogleカレンダーと連携できる方式を採用していました。

https://www.google.com/calendar/render?cid=連携用URL

しかしこのURLを使用した場合、Googleカレンダーの仕様上、一般公開用のリンクが自動で有効になる問題がありました。そのため、意図的に実施した場合のみ発生するリスクですが、公開用のリンクをTwitterなどの誰でもアクセスできるサイトに掲載した場合に、計測情報を閲覧できるリスク、Googleの検索クローラーにインデックスされるリスクがありました。

実施した対策

下記の対策を実施いたしました。

• カレンダー連携用のURLはすべて廃止して、計測情報を閲覧できないようにしました。(1.の問題に対する実施)

• 念の為、Googleカレンダーのサーバ側がキャッシュ等でカレンダー情報を保持している可能性を考慮して、Hackaruのサーバからは常に空のカレンダーデータを返すようにし、Googleカレンダー側のキャッシュを削除 (空データで上書き) するように実施しています。 (1. および 2.の問題に対する実施)

利用者側にて実施する対応

カレンダー連携用のURLはすべて廃止しているため、ユーザ側にて実施していただく対応はございません。念の為、webcal方式で連携されているURLがご利用のカレンダーアプリ上に残っている場合は削除していただけますと幸いです。

最後に

Hackaruをご利用頂いているユーザ様にはご迷惑をお掛けしまして、大変申し訳ございません。何かございましたら TwitterのDM までご連絡ください。

https://twitter.com/ktmouk