Een beveiligingslek in Google Buzz laat hackers accounts overnemen en achterhalen waar gebruikers zich precies bevinden. De cross-site scripting kwetsbaarheid die dit mogelijk maakt, bevindt zich op google.com. Het domein dat de authenticatie cookies voor allerlei andere Google-diensten plaatst, zoals Mail, Calendar en Docs. In totaal zijn er vier dingen mis met de beveiliging van de net gelanceerde sociale netwerkdienst, aldus beveiligingsonderzoeker Robert "RSnake" Hansen. Hij werd door een andere onderzoeker genaamd TrainReq over de problemen ingelicht. "Het is weer een voorbeeld van slechte input validatie/output encodig door onze favoriete advertentie overlords bij Google", zo merkt hij op.

Locatie
Het eerste probleem is dat de aanval op Google's eigen domein plaatsvindt, niet op een domein zoals Google Gadgets. "Dat is slecht voor phishing en voor cookies", aldus Hansen. Ten tweede werkt de aanval via SSL/TLS. Het derde punt van kritiek is dat een aanvaller een Google Buzz account kan kapen. "Niet dat iemand de dienst gebruikt, of tenminste dat niet zou moeten doen." Als laatste vindt Hansen het ironisch dat Google vraagt waar hij zich bevindt, op dezelfde pagina die wordt gehackt.

"Hoe kan Google denken dat de systemen die het gebruikt veilig genoeg zijn om het die gevoelige informatie toe te vertrouwen? Ja, mensen met slechte intenties kunnen uitvogelen waar je je bevindt als je die functie toestaat. Dus Chinese dissidenten zijn gewaarschuwd! Maar als je iets te verbergen het, dan moet je wel een bad guy zijn, niet waar Eric?" De onderzoeker verwijst daarbij naar Google's CEO Eric Schmidt, die eind vorig jaar de wereld deed verbazen met zijn uitspraak dat privacy alleen voor mensen is die iets hebben te verbergen.

Google laat in een reactie weten dat het lek gepatcht wordt en er geen aanwijzingen zijn dat het misbruikt is. "We begrijpen het belang van de veiligheid van onze gebruikers en zullen de beveiliging van Google Buzz verder verbeteren", aldus een woordvoerder.

Spammers
Naast hackers is de net gelanceerde dienst ook in trek bij spammers. Twee dagen na de lancering verschenen de eerste spamberichten al. "We hadden niet verwacht dat het zo snel zou gebeuren", zegt beveiligingsbedrijf Websense. De spammer in kwestie zou al 237 mensen volgen en maakt reclame voor een "stoppen met roken" product. "Toen Twitter werd gelanceerd duurde het even voordat spam en andere kwaadaardige berichten verschenen. In dit geval duurde het slechts twee dagen. "Het is duidelijk dat aanvallers hebben geleerd om sociale netwerken voor de verspreiden van dit soort berichten te gebruiken."