Des spécialistes de la sécurité informatique ont mis en lumière une faille dans la console d’administration de Google Apps qui permet temporairement d’envoyer des emails avec n’importe quel nom de domaine sans en avoir vérifier la propriété. Les chercheurs en sécurité Patrik Fehrenbach et Behrouz Sadeghipour ont démontré être capables, sans avoir à écrire une seule ligne de code, d’envoyer des emails avec des adresses @ytimg.com et @gstatic.com à partir de de la console de gestion Google Apps, sans que l’email soit identifié comme frauduleux par Google.
La faille est « par design », c’est-à-dire qu’elle est inhérente aux fonctionnalités que la console d’administration de Google Apps met à disposition de ses utilisateurs. Les deux chercheurs à l’origine de la trouvaille ont été rémunérés $500 pour avoir déclarer la faille.