InsideGoogle

part of the Blog News Channel

I’m “Dramatic”

I love the first line of Elinor Mills’ article at CNET linking to my article on the Google Presentations security leak:

Nathan Weinberg at Inside Google sure can write a dramatic blog entry.

That’s gotta be the nicest thing anyone said to me all week. I like.

Elinor’s also got a quote from a Google rep on the story:

A Google representative provided this statement when asked for comment: “We take our users’ privacy and security very seriously. We acted quickly when we discovered this bug and delivered a fix: e-mail addresses are no longer archived during presentation chat sessions.”

September 20th, 2007 Posted by Nathan Weinberg | Presentations, Docs, Blogs, Products | 2 comments



Google Closes Presentations Security Flaw After 15-Hour Breach

presentation-security-flaw.png

What are you looking at? You’re looking at a small selection of the email addresses I harvested from innocent readers of this blog and others, thanks to a security flaw in Google’s new presentation feature in Google Docs. The list that clip was taken from has 450 email addresses in total. Here’s almost the whole list, way too pixelated for anyone to read:

presentation-security-flaw-2.png

So, how did this happen?

Google Presentations has a chat feature, based on Google Talk technology, that lets people chat while viewing a presentation. I embedded a presentation here, as did Matt Cutts on his blog, and a number of people linked to it. Everyone who went to that Presentation and logged into their Google Account to chat gave their email address to me and to every other visitor to the chat, without even knowing it.

The reason is that Presentations logs your chats, just like Google Talk does, and those logs appear in your Gmail Chat folder. While the chat window in the presentation doesn’t list email addresses, the logs do, and almost everyone gets them automatically.

I used Find and Replace to remove every space, letter, number, symbol and whatever else from the chat log, and these are how many @ symbols were left:

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

And that’s just one chat log! I have two others. Now, don’t worry about the vulnerability anymore, because my chat logs terminate at 3:44 pm, so it looks like Google turns off the feature after a number of people (including I’m guessing Philipp) noticed this problem. Still, if you’ve already been in a Presentation with a chat feature, even if you didn’t say anything, someone (probably me) might already have your email address.

It’s a pretty scary vulnerability, one that you’d wish Google had caught before someone could have harvested 15 hours worth of email addresses. Google’s been working on Presentations for a lot of months, and something was bound to slip through. Still, many new Google products seems to ship with a vulnerability that exposes email addresses (cough*Pages*cough), so Google should pay better attention next time.

Some of the email addresses I recognized in the list:

  • Matt Cutts
  • DP Neal
  • TOMHTML
  • Dave Naylor
  • Oleg Solodukhin
  • TDavid
  • Tony Ruscoe
  • Nathan Rudy
  • Francis Ocoma
  • Loren Baker
  • Robin Good
  • Adam Lasnik
  • Chad Dorsey

September 19th, 2007 Posted by Nathan Weinberg | Presentations, Docs, Products, Security, General | 9 comments