Google hatte eine Sicherheitslücke in der Programmierschnittstelle, wodurch es möglich war, dass User E-Mails an Gmail-User schicken konnten, ohne dass die Mailadresse erkennbar war. Es war lediglich notwendig, eine hierfür präparierte Webseite zu besuchen, wenn man bei seinem Google-Account eingeloggt war.
Möglich gewesen sein soll dies selbst im Private-Browsing-Modus, in dem normalerweise die gesammelten Cookies gar nicht verfügbar sind. Der Betreff und der Inhalt waren frei wählbar und sind von noroply@google.com ausgegangen. Verschickt wurden sie mit einem authentischen Header, sodass es dem Nutzer nicht möglich war, eine solche Mail von einer echten zu unterscheiden. Ein Armenier hatte diese Lücke entdeckt und dies gehostet. Den Blog dazu hat Google sperren lassen und gleichzeitig das Problem bestätigt. Wie Google berichtet hat, wurde die Lücke in den Apps-Script-API gefunden und auch gleich geschlossen. Somit hat sich das Problem mit der Sicherheitslücke schnell wieder erledigt, zur Freude der Nutzer von Google Mail, denn diese Lücke war eine Chance, Viren zu verteilen.