BloggingTom

tastaturisiert am Freitag, 15. September 2006 um 16:31:08 Uhr

Kann Googles “Public Search Service” für Phishing-Zwecke missbraucht werden? Eine Lücke in der Programmierung macht dies offensichtlich derzeit möglich, wie Eric Farraro feststellte. Durch das Hosting auf der google.com-Domain entsteht tatsächlich der Eindruck, man sende seine Logindaten an Google, was aber offensichtlich falsch ist.
Ein Proof of Concept zeigt Eric unter http://www.google.com/u/gplus. Wer auf Nummer sicher gehen will, gibt dort aber natürlich nicht seine echten Logindaten ein, sondern probiert es mit falschen Angaben…

Immerhin: Google wurde von Eric bereits informiert und hat offensichtlich Neuanmeldungen für den “Public Search Service” deaktiviert.

(via Google Blogoscoped)