Google Docs met gaatjes
Wie op het web surft terwijl hij ingelogd is in zijn Gmail-account, is vatbaar voor email address harvesting, het oogsten van zijn Gmail-adres. Voor alle duidelijkheid: niet de inhoud van de e-mails komt daarbij in het gedrang. Wel het gmail-adres zelf, dat niet iedereen zomaar publiek wil maken. Door Arvind Narayanan en Pascal Van Hecke werd de techniek beschreven en uitgetest. Het gaat zo: op een website wordt een iframe [voorbeeld] geplaatst dat verwijst naar een Google Spreadsheet dat voor iedereen toegankelijk gemaakt is. De eigenaar van de website, tevens eigenaar van het Google Spreadsheet, kan vervolgens in real time de gmail-adressen van de bezoekers van de site in zijn Google Docs interface zien verschijnen.
Is dit een makkelijke manier voor spammers om snel massa's email-adressen te verzamelen? Niet echt, want de adressen verdwijnen na een aantal minuten, en worden nergens permanent opgeslagen. Ze zijn ook niet zomaar te capteren door een script. Er wordt dus alleen een lijst getoond van gmail-adressen van de mensen die op dat ogenblik (al dan niet via de iframe) het document hebben geopend.
Ik probeerde deze techniek vorige week eventjes uit op mijn blog, om mij ervan te vergewissen dat de truc werkte. Niet alleen kreeg ik enkele gmail-adressen te zien van bezoekers van mijn blog, ik kreeg ook een indicatie van het aantal bezoekers dat niet ingelogd was in Gmail, onder de vorm van gekleurde blokjes zonder naam ernaast.
Mijn experiment duurde slechts een uur of twee, maar in de dagen daarna gebeurde er iets vreemds. Ik kreeg emails van mensen die een Google Spreadsheet van mij tussen hun Google Docs hadden gevonden, en die mij vroegen hoe dat daar terechtgekomen was. Alle mensen die tijdens mijn experiment mijn blog hadden bezocht en die tegelijk ingelogd waren geweest in hun Google account, hadden in hun lijst van Google Docs een nieuw Google Spreadsheet toegevoegd gekregen. Ik had, zonder dat ze het op dat moment beseften, een koekoeksei gelegd in hun Google Docs. En in dat spreadsheet kon niet alleen iedereen lezen, maar ook schrijven. En zo ontspon zich spontaan een dialoog:
Die dialoog ontdekte ik pas vandaag. Het is geen chatsessie in real time, maar een asynchrone dialoog die zich over de loop van een paar dagen afspeelde in het voor iedereen beschrijfbare spreadsheet dat via het iframe bij nietsvermoedende gebruikers was terechtgekomen. Ik verwijderde daarop het document uit mijn Google Docs, maar het bleef bestaan, ook al verdween het na een tijd uit de lijst bij de andere gebruikers. Ik heb inmiddels zelf de controle verloren over mijn koekoeksei, dat nu als een weeskind in cyberspace rondzwerft. Tot er, misschien, een lazy garbage collection algoritme bij Google in actie zal komen dat het document ook echt zal verwijderen.
Is dit een makkelijke manier voor spammers om snel massa's email-adressen te verzamelen? Niet echt, want de adressen verdwijnen na een aantal minuten, en worden nergens permanent opgeslagen. Ze zijn ook niet zomaar te capteren door een script. Er wordt dus alleen een lijst getoond van gmail-adressen van de mensen die op dat ogenblik (al dan niet via de iframe) het document hebben geopend.
Ik probeerde deze techniek vorige week eventjes uit op mijn blog, om mij ervan te vergewissen dat de truc werkte. Niet alleen kreeg ik enkele gmail-adressen te zien van bezoekers van mijn blog, ik kreeg ook een indicatie van het aantal bezoekers dat niet ingelogd was in Gmail, onder de vorm van gekleurde blokjes zonder naam ernaast.
Mijn experiment duurde slechts een uur of twee, maar in de dagen daarna gebeurde er iets vreemds. Ik kreeg emails van mensen die een Google Spreadsheet van mij tussen hun Google Docs hadden gevonden, en die mij vroegen hoe dat daar terechtgekomen was. Alle mensen die tijdens mijn experiment mijn blog hadden bezocht en die tegelijk ingelogd waren geweest in hun Google account, hadden in hun lijst van Google Docs een nieuw Google Spreadsheet toegevoegd gekregen. Ik had, zonder dat ze het op dat moment beseften, een koekoeksei gelegd in hun Google Docs. En in dat spreadsheet kon niet alleen iedereen lezen, maar ook schrijven. En zo ontspon zich spontaan een dialoog:
Die dialoog ontdekte ik pas vandaag. Het is geen chatsessie in real time, maar een asynchrone dialoog die zich over de loop van een paar dagen afspeelde in het voor iedereen beschrijfbare spreadsheet dat via het iframe bij nietsvermoedende gebruikers was terechtgekomen. Ik verwijderde daarop het document uit mijn Google Docs, maar het bleef bestaan, ook al verdween het na een tijd uit de lijst bij de andere gebruikers. Ik heb inmiddels zelf de controle verloren over mijn koekoeksei, dat nu als een weeskind in cyberspace rondzwerft. Tot er, misschien, een lazy garbage collection algoritme bij Google in actie zal komen dat het document ook echt zal verwijderen.
Steven Devijver