Uma brecha de segurança nos serviço de e-mail do google, o Gmail, possibilitava que hackers roubassem os contatos dos usuário atráves de um código javascript. Isso acontecia se logo após o usuário logar ao gmail fosse acessada uma página que contivesse o javascript malicioso.

O script se aproveitava de uma recurso de integração do gmail com outros serviço do google, usando uma forma de ataque conhecida como XSRF ou CSRF (Cross Site Request Forgery).

A falhas de XSRF existem em aplicações que utilizam cookies, browser authentication ou certificados (client side) para autenticar usuários. O método consiste em enganar o usuário, direcionando suas ações dentro do aplicativo.

No caso do gmail, após realizar a autenticação, se o usuário acessasse o link http://docs.google.com/data/contacts?out=js&show=ALL&psort=Affinity&callback=google&max=99999 todos os seus contatos seriam exibidos.

Da mesma forma seus contatos poderiam ser capturados e utilizados por um spammer, através do acesso de uma página com o seguinte script:

Apesar da gravidade do problema a equipe do Google mostrou como sempre sua agilidade e resolveu o problema em 30 min após a falha ser divulgada.

O desenvolvedor de aplicativos web, principalmente com a moda da Web 2.0, devem tomar medidas para evitar os diversas formas de ataques que vem surgindo. Com certeza, existem milhares de aplicações web com essas falhas aguardando para serem exploradas e desenvolvedores menos prepararados para essa nova realidade.