Google heeft een security lek op haar website gedicht waardoor accounts van gebruikers gekaapt konden worden, phishing scams en andere aanvallen mogelijk maken, aldus security onderzoekers van Finjan Software. Het cross-site scripting lek was aanwezig op de Google Adwords advertentie pagina en training website voor klanten. De kwetsbaarheid werd in september ontdekt, waarna Google het binnen 30 uur verholpen had.

Aanvallers zouden het lek misbruikt kunnen hebben om Google accounts te kapen, voor phishing scams en zelfs het downloaden van kwaadaardige code op de computer van gebruikers zou mogelijk zijn.

Volgens Finjan heeft Google zeer snel en adequaat gereageerd. Google erkende dat het met een lek te maken had gehad, en dat het inmiddels gedicht was. Volgens de zoekgigant zouden geen gegevens van gebruikers in gevaar zijn geweest.

Het probleem ontstond doordat formulieren op de website van Google gegevens in bepaalde velden niet goed controleerde. Hierdoor kon een aanvaller extra content en scripts toevoegen die op de computer van de gebruiker konden worden uitgevoerd. Om hiervan misbruik te maken moest een aanvaller een speciale link maken en die door de gebruiker laten openen. In het geval van Google was het een ernstig probleem, omdat de link op een normale Google link leek, aldus Finjan.