Volgens Ade Barkah, een technisch consultant te Canada, heeft Google Docs geen bescherming voor ingebedde plaatjes in documenten. Ook kunnen gebruikers de vorige versies van documenten inzien en kunnen geblokkeerde gebruikers zich toegang verschaffen tot bepaalde documenten.

Een ingebed plaatje in een Google-document komt met een aparte url op de servers van de zoekgigant terecht. Via die url is de afbeelding op andere websites in te bedden. Dit is ook mogelijk als het document waaraan het plaatje is toegevoegd niet openbaar is gemaakt. Zelfs als het document verwijderd is kan er nog steeds naar de afbeelding worden verwezen, merkt Barkah op.

Niet beveiligd

"De plaatjes zijn dus niet beveiligd via de opties om documenten te delen", schrijft de onderzoeker. "Als je een document hebt gedeeld met ingebedde afbeeldingen kan diegene waarmee je het document hebt gedeeld altijd bij die afbeeldingen." Barkah beargumenteert dat het verwarrend is voor gebruikers dat dit nog steeds mogelijk is als een document door de originele gebruiker is verwijderd.

Google verdedigt zich in een blogpost door erop te wijzen dat dezelfde afbeeldingen ook in andere documenten gebruikt kunnen worden. Door de afbeeldingen te verwijderen zouden die overal verdwijnen.

Daarnaast wijst Jonathan Rochelle, product manager van Google Docs, erop dat de url van de afbeelding alleen bekend is bij gebruikers die ooit toegang hadden tot het plaatje. "Die gebruikers hadden sowieso de mogelijkheid om de afbeelding te downloaden. Dat verwachten wij ook", aldus Rochelle. Als een gebruiker een afbeelding echt verwijderd wil hebben dan kan dat via de helpdesk.

Revisiehistorie

Volgens Barkah kunnen gebruikers met toegang tot een gedeeld document ook de vorige versies daarvan oproepen. Hij stelt dat het mogelijk is om in de vorige versies van een Google Docs-diagram te kijken. Door de url van het document aan te passen, kan iedereen toegang krijgen tot vorige versies van het diagram. Daardoor kunnen bijvoorbeeld cijfers worden onthuld die geheim moesten blijven.

De onderzoeker vergelijkt het probleem met het 'fast save'-lek in Microsoft Word. In sommige documenten (die bijvoorbeeld verzonden zijn per e-mail) kunnen revisies door de ontvanger tevoorschijn worden gehaald.

"De mogelijkheid voor medegebruikers om de revisies te zien is een ingebouwde functie van Docs", schrijft Google-productmanager Rochelle. Die mogelijkheid is wel beperkt door geautoriseerde gebruikers. "We kunnen overwegen om een optie toe te voegen waarmee expliciet toestemming moet worden gegeven om de revisies te zien." Rochelle geeft voor nu de tip om een nieuw document aan te maken en dat dan te delen om eventuele problemen te voorkomen.

Geblokkeerde gebruikers hebben toegang

Het derde probleem dat Barkah heeft gevonden in Google Docs is de mogelijkheid voor gebruikers die niet langer toegang hebben tot een gedeeld document om daar toch nog bij te komen. Het gaat om gebruikers die later zijn geblokkeerd. Hoe dit precies werkt, wil hij niet bekend maken. Volgens Google gaat het om uitnodigingen tot het bewerken van een bepaald document waarbij de originele auteur anderen toestemming geeft om het document weer te delen met anderen. Aan die documenten wordt een speciale sleutel toegevoegd.

"Deze feature kan op elk moment worden uitgeschakeld", zegt Rochelle. "Dit kun je doen door het uit te vinken." In Docs en Presentaties gaat het om de functie 'uitnodigingen kunnen door iedereen worden gebruikt' en bij spreadsheets gaat het om de knop 'laat mensen bewerken zonder zich aan te melden', legt Rochelle uit.

Bezorgdheid

Barkah zegt het geval van de afbeeldingen op 18 maart aan Google te hebben voorgelegd via e-mail. Toen hij vijf dagen later nog niets van de zoekgigant had gehoord heeft hij zijn bevindingen gepubliceerd. Google-manager Rochelle bedankt Barkah nu in in een blogpost voor "het delen van zijn bezorgdheid".