Cuando invitamos a otra persona para que gestione nuestra cuenta de email, recibirá un email con dos opciones: una para aceptar la acción y otra para renunciar. Al pulsar en esa segunda url aparece un mensaje semejante al mostrado en la captura inferior, donde muestra el email al que hemos rechazado el acceso.
Hasta aquí, todo normal, el problema venía cuando alguien alteraba un carácter de dicha url, ya que en ese caso existía la posibilidad de recibir el mensaje de otra cuenta diferente, mostrando la dirección de alguna cuenta de email aleatoria.
Lo que hizo Oren Hafif en noviembre de 2013, profesional que trabaja en la empresa de seguridad de Israel Trustwave, fue crear un pequeño script (lo podéis ver en el vídeo inferior y en este artículo) que alteraba caracteres de forma automática y obtenía las direcciones generadas. El resultado: consiguió 37.000 cuentas de email reales en menos de 2 horas.
Este problema, que Google solucionó después de que Oren lo señalase, ha permanecido así durante mucho tiempo, según comentan en Wired, por lo que no se sabe si alguien lo ha aprovechado para obtener millones de cuentas de email, cuentas que tienen un gran valor en el mercado negro del spam, phishing y demás ataques vía correo electrónico.
Oren quería la recompensa que Google ofrece a los que detectan errores en sus plataformas, aunque en este caso solo consiguió 500 dólares después de insistir con el tema, ya que aparentemente Google no quería considerarlo como «problema de programación» propiamente dicho.