Inmiddels is de fout verholpen meldt ontdekker 'Inferno' op zijn weblog. Daar heeft hij nu de proof-of-concept code gepubliceerd nadat hij eerst Google de kans heeft gegeven het probleem te verhelpen. Volgens de hacker was het kinderlijk eenvoudig om via het invoeren van een specifiek Javascript sessie-cookies te stelen en die naar zijn 'evil website' te sturen. Daar vandaan kon hij dan inloggen als de gebruikers wiens cookie was gestolen.

Volgens Inferno is het cookie van het Google.com-domein het 'centrale Single Sign-On' cookie waarmee een gebruiker inlogt bij alle services van de zoekmachinegigant. Als iemand die cookie in handen krijgt, kan die het gebruiken om e-mail, contactgegevens, documenten, code, websites en de analytische gegevens van die sites te stelen. Daarnaast bood het lek een achteringang naar de iGoogle homepage waar kwaadaardige gadgets toegevoegd kunnen worden. Volgens de hacker waren er nog veel meer 'malicious' mogelijkheden.

Relatief snel opgelost

Inferno heeft Google op 18 april geïnformeerd over het door hem ontdekte lek. Nog geen uur later kreeg hij antwoord van de zoekmachinegigant dat er aan werd gewerkt. Het gat is op vijf mei volledig gedicht. De hacker heeft vervolgens afgelopen vrijdag zijn bevindingen gepubliceerd.

Inferno zegt zeer te spreken te zijn over de snelle reactie van het Google Security Team. Ook vind hij dat het probleem binnen afzienbare tijd werd opgelost. "Als je denkt dat Google er lang over deed om dit probleem op te lossen zit je fout. Dit Python-script wordt op veel plaatsen gebruikt." Volgens de hacker komt het door hem gehackte script in bijna alle Google Services voor.