Gmail-contacten openbaar door xss-lek
Gepubliceerd: Dinsdag 2 januari 2007
Auteur: Jeroen Doorn
De contactenlijst van Gmail-gebruikers is door anderen in te zien dankzij een xss-lek. Tevens blijken sommige gebruikers alle mail kwijt te zijn.
Het potentiële misbruik van de contactenlijst werd gemeld door Googlified. Volgens hen werkt Google aan het probleem, maar is het lek nog niet verholpen. Indien iemand is ingelogd in Gmail, is het met behulp van javascript mogelijk de contactenlijst van anderen te bekijken.
Google slaat de contacten van gebruikers op in javascript-bestanden. Met behulp van cross-site scripting-technieken (xss) is het eenvoudig contacten van anderen op te vragen. Het probleem is getest in Firefox, Opera en Internet Explorer. Volgens Googlified is Google bezig het probleem te verhelpen, maar werkt het lek op dit moment nog wel.
Los van het xss-lek blijken tientallen Gmail-gebruikers al hun mail kwijt te zijn, aldus Techcrunch. In de tweede helft van december kwamen er meer en meer meldingen in Google Groups over verdwenen berichten.
Google stelt tegenover de site dat ongeveer zestig gebruikers hun e-mail kwijt zijn. Het bedrijf probeert zoveel mogelijk mail terug te halen en heeft contact gezocht met de getroffen mensen om eventuele persoonlijke back-ups terug te kunnen plaatsen.
