A Google súlyos biztonsági rést foltozott be a Gmail szolgáltatás ellenőrző rendszerében. Az ellenőrzést kijátszva a hackerek mindössze pár lépéssel küldhettek levelet tetszőleges @gmail.com és @googlemail.com címekről, persze pár feltétellel. A rést a Security Fuse kiberbiztonsági szakértője, Ahmed Mehtab fedezte fel, aki egy teszt során maga is végrehajtott egy támadást.
A támadást a Gmail ellenőrző rendszerének sérülékenységén keresztül lehetett intézni. Ha egy felhasználónak több Gmail-fiókja is van, akkor azokat összekapcsolhatja a levelezőben, és beállíthatja azt is, hogy az elsődleges e-mail fiókra érkező leveleket továbbítsa a rendszer egy másik megadott címre.
A támadást az alábbi módon lehetett kivitelezni: először egy kiszemelt fiókot kell csatolni a levelezőhöz, de a használatához előbb meg kell erősíteni, hogy valóban a felhasználó az adott fiók tulajdonosa.
A Google ezután küld egy levelet a megadott másodlagos fiókra, amiben megerősítést kér. De mivel a címzett nem tudja megkapni a levelet (inaktív, vagy nem létező fiókkal lehet csak alkalmazni), ezért a támadónak küldi vissza,
már a megerősítéshez szükséges kóddal.
Ezután az eltulajdonított címről is tud e-mailt küldeni a támadó, ha a kóddal igazolja, hogy ő a tulajdonos.
Ennek kivitelezéséhez azonban teljesülnie kell az alábbi feltételek egyikének: a kiszemelt, eltéríteni kívánt e-mail tulajdonosának offline módban kell legyen a levelek küldéséért felelős SMTP protokoll, vagy egy deaktivált, illetve akár nemlétező címet kell megadnia.
Gyakorlatban így néz ki ez az elsőre bonyolultnak tűnő folyamat.
A támadó viszont hiába tulajdonítja el a fiókot, nem tudja azt teljeskörűen használni. Az olyan hozzákapcsolódó szolgáltatások, mint a Drive, Photos, Play tartalmát nem éri el, csak leveleket tudott küldeni az ellopott fiók nevében.
A Google október 20-án befoltozta a sérülékenységet. Bugkereső programjukon belül díjazták is a hibát felfedező szakembert.