Cat suntem logati in GMail, lista de contacte este stocata sub forma unui fisier JS (JavaScript) neprotejat. Astfel, continutul acestuia poate fii accesat remote de catre orice site pe care utilizatorul il viziteaza in timp ce este logat in casuta de email. Pentru a intelege cat mai bine felul in care functioneaza fisierul JS, vizitati acest link, in timp ce sunteti logati.

In mod normal, ar trebui sa va apara toate contactele din lista, insotite bine-inteles de datele aferente. Se pare ca vulnerabilitatea nu tine seama de browserul folosit, ci de modul in care Gmail gestioneaza lista de contacte in momentul logarii. Desi vulnerabilitatea nu este una critica, reprezinta o sursa importanta de „materie prima” pentru spammeri, reamintindu-ne de asemenea ca Google Mail poarta inca eticheta „BETA”.

Se pare ca site-ul care a prezentat explicit modul de sustragere a datelor a fost inchis chiar de autorul acestuia.