V postupu, jakým Google umožňoval obnovit heslo k uživatelskému účtu, bylo nalezeno několik závažných zranitelností, které dohromady umožňovaly takový phishingový útok, při kterém by se běžný uživatel nechal s vysokou pravděpodobností svést k vepsání nového hesla do formuláře podvrženého útočníkem. Tak prozrazené heslo by se přitom skutečně zároveň nastavilo pro jeho účet u Googlu.
Možný útok složený z několika vyzkoumaných zranitelností (CSRF, XSS) v postupu obnovy hesla popisuje na svém blogu Oren Hafif. Ten zjištěné ještě před zveřejněním předpisově nahlásil Googlu a Google zranitelnosti opravil do deseti dnů. Orenovi vyslovil uznání a předá mu také finanční odměnu.
Případ ukazuje, že jakkoli lze snad považovat účet u Googlu za prolomitelný poměrně obtížně — alespoň oproti mnoha jiným webovým službám — neznamená to, že kód od Googlu nemůže být zranitelný.
Přitom je běžné, že řada uživatelů volí Gmail jako ‚master‘ e‑mailový účet, na který by si dali poslat odkaz na obnovu hesla k jiným službám. Průnik do jejich účtu u Googlu by tedy umožnil proniknout i do těchto jiných služeb. Anebo se někam rovnou přihlásit pomocí Googlu.
