Peinliche Lücke für den Internetriesen Google: Es genügt, eine manipulierte Webseite aufzurufen, schon ist die eigene Google-Adresse ausspioniert. Man muss nur irgendwann auf dem Rechner bei einem Google-Dienst eingeloggt gewesen sein. Google beruhigt: Das Problem sei behoben, wie Spiegel Online am Sonntag berichtete.
Ausgerechnet bei Googles eigener Blog-Plattform Blogspot hat ein Hacker diese Sicherheitslücke demonstriert: Wer die Seite aufrief, hatte wenig später Post in seinem Google-Mail-Postfach. «Eine irgendwie wichtige Nachricht», lautete die Betreffzeile, im Nachrichtentext stand: «Hallo, bitte teilen Sie diesen Link, P.S.: Sie haben diese Nachricht erhalten, weil sie diese Seite wahrscheinlich schon besucht haben.»
Ein Google-Sprecher erklärte nach Abschaltung der Webseite mit der Schnüffeldemonstration gegenüber Techcrunch: «Wir haben das Problem schnell gelöst.» Es habe sich um einen Fehler in einer Programmierschnittstelle gehandelt. Die Lücke habe es lediglich ermöglicht, Nutzern eines Google-Kontos beim Besuch einer präparierten Seite eine Nachricht an ihre Google-Adresse zu senden. Das sei nur möglich gewesen, solange die Betroffenen bei ihrem Google-Konto eingeloggt gewesen seien.
