Google Docs met gaatjes
Wie op het web surft terwijl hij ingelogd is in zijn Gmail-account, is vatbaar voor email address harvesting, het oogsten van zijn Gmail-adres. Voor alle duidelijkheid: niet de inhoud van de e-mails komt daarbij in het gedrang. Wel het gmail-adres zelf, dat niet iedereen zomaar publiek wil maken. Door Arvind Narayanan en Pascal Van Hecke werd de techniek beschreven en uitgetest. Het gaat zo: op een website wordt een iframe [voorbeeld] geplaatst dat verwijst naar een Google Spreadsheet dat voor iedereen toegankelijk gemaakt is. De eigenaar van de website, tevens eigenaar van het Google Spreadsheet, kan vervolgens in real time de gmail-adressen van de bezoekers van de site in zijn Google Docs interface zien verschijnen.
Is dit een makkelijke manier voor spammers om snel massa's email-adressen te verzamelen? Niet echt, want de adressen verdwijnen na een aantal minuten, en worden nergens permanent opgeslagen. Ze zijn ook niet zomaar te capteren door een script. Er wordt dus alleen een lijst getoond van gmail-adressen van de mensen die op dat ogenblik (al dan niet via de iframe) het document hebben geopend.
Ik probeerde deze techniek vorige week eventjes uit op mijn blog, om mij ervan te vergewissen dat de truc werkte. Niet alleen kreeg ik enkele gmail-adressen te zien van bezoekers van mijn blog, ik kreeg ook een indicatie van het aantal bezoekers dat niet ingelogd was in Gmail, onder de vorm van gekleurde blokjes zonder naam ernaast.
Mijn experiment duurde slechts een uur of twee, maar in de dagen daarna gebeurde er iets vreemds. Ik kreeg emails van mensen die een Google Spreadsheet van mij tussen hun Google Docs hadden gevonden, en die mij vroegen hoe dat daar terechtgekomen was. Alle mensen die tijdens mijn experiment mijn blog hadden bezocht en die tegelijk ingelogd waren geweest in hun Google account, hadden in hun lijst van Google Docs een nieuw Google Spreadsheet toegevoegd gekregen. Ik had, zonder dat ze het op dat moment beseften, een koekoeksei gelegd in hun Google Docs. En in dat spreadsheet kon niet alleen iedereen lezen, maar ook schrijven. En zo ontspon zich spontaan een dialoog:
Die dialoog ontdekte ik pas vandaag. Het is geen chatsessie in real time, maar een asynchrone dialoog die zich over de loop van een paar dagen afspeelde in het voor iedereen beschrijfbare spreadsheet dat via het iframe bij nietsvermoedende gebruikers was terechtgekomen. Ik verwijderde daarop het document uit mijn Google Docs, maar het bleef bestaan, ook al verdween het na een tijd uit de lijst bij de andere gebruikers. Ik heb inmiddels zelf de controle verloren over mijn koekoeksei, dat nu als een weeskind in cyberspace rondzwerft. Tot er, misschien, een lazy garbage collection algoritme bij Google in actie zal komen dat het document ook echt zal verwijderen.
Reacties
Steven Devijver
maandag, 18 januari, 2010 - 21:53Dit verklaart het mysterieuze document! Trouwens, lijnen 4 en 5 neem ik voor mijn rekening.
OutlawMike
maandag, 18 januari, 2010 - 22:19Ik zal er niet tussenzitten, want men moet mij nog altijd overtuigen van het nut van GMail.
raff
maandag, 18 januari, 2010 - 22:31Het excelblad lijkt thans verdwenen te zijn.
Zombie
maandag, 18 januari, 2010 - 23:24Mensen, als het niet Microsoft Excel is, is het geen "Excelblad" maar een rekenblad of spreadsheet.
Of rijdt gij ook met een ford van Renault en hoovert ge met een Miele?
David Geens
dinsdag, 19 januari, 2010 - 09:29Hmz, duidelijk iets wat aantoont dat zomaar vertrouwen op publieke diensten van Google best toch altijd eens doet nadenken over wat er allemaal gebeurt in de enorme datacenters van die mannen.
Dailybits
dinsdag, 19 januari, 2010 - 14:53Hmm toch maar eens mijn gevoelige google docs ergens lokaal opslaan ipv. bij hen...
Lizzie
dinsdag, 19 januari, 2010 - 20:46En? Zijn de gaatjes van Google Docs nu al dichtgemaakt of gaat het Google-met-zeef-leven maar gewoon verder?
LVB
woensdag, 20 januari, 2010 - 12:53@Dailybits @Lizzie: Voor alle duidelijkheid, het gaat niet over het feit dat Google Docs onveilig zouden zijn, wel over het feit dat de privacy van een Gmail-account of een Google Account in het gedrang kunnen komen via spionage met behulp van Google Docs. De veiligheid van Google Docs zelf is niet in het gedrang. Maar als je sites bezoekt en tegelijk ingelogd bent in gmail, heeft elke site in principe de mogelijkheid om jouw email-adres te weten te komen. Google Docs is daarbij het "breekijzer", zelfs wanneer je zelf geen gebruik maakt van Google Docs.
Lizzie
woensdag, 20 januari, 2010 - 18:47@Luc
Dank je wel voor je duidelijke uitleg.
Ik stel mij alleen nog volgende vragen:
1. Is het niet al een vorm van inbreuk op de privacy, wanneer niet alleen Google zelf maar ook buitenstaanders (via een andere site) (gemakkelijk?) aan informatie geraken (je gmail-adres) over wie hun site bezoekt? Voor zo ver dat een email-adres natuurlijk (theoretisch nog) behoort tot de private sfeer. Want dat is natuurlijk ook ergens betrekkelijk geworden.
2. Is het ook geen vorm van 'account-inbraak', wanneer op je eigen account, ZONDER DAT JE DAT ZELF BESLIST, een nieuw EXTERN Google Spreadsheet toegevoegd kan worden waar externen toegang toe hebben? In dit geval in Google Docs.
Frederik VC
donderdag, 21 januari, 2010 - 13:08Ik heb ook iets opmerkelijk meegemaakt met Gmail (google docs). Voor mijn parttimejob had ik op Google docs een account aangemaakt (@gmail.com) om mijn agenda bij te houden in een spreadsheet. Op die manier kunnen de scholen waarvoor ik werk bepaalde taken doorgeven en ook zien dat ik reeds heb gedaan. Verder gebruikte ik dat @gmail.com-adres nog nooit, nog voor mail nog om ergens anders in te loggen tot ik vorige week een reclameboodschap per mail binnenkreeg van MSN op dat email adres.
Of de almachtige Google verkoopt hun emailadressen door of MSN gebruikt deze bug om email adressen in te zamelen. Echter, op de MSN site kom ik zelden tot nooit.