Un étudiant de l'Université d'Amsterdam, Matthijs R. Koot, explique sur The Register et dans un billet de blog avoir téléchargé les données de 35 millions de compte Google Profiles, et ceci avec un simple script BASH!

Google Profiles est un service similaire à Facebook. Il permet de créer une page personnelle et d'y partager des informations avec d'autres internautes. Et toutes ces données sont répertoriées et pointées dans un fichiers XML: profiles-sitemap.xml. Bref une simple sitemap comme celles que connaissent tous les webmasters. Notre chercheur, qui n'est pas du tout mal intentionné, mais qui a simplement voulu mettre en évidence que ces données ne sont pas sécurisées, n'a donc eu aucun mal à les télécharger.

"J'ai écrit un simple script BASH pour télécharger toutes les fichiers sitemap-NNN(N).txt mentionnés dans cette sitemap. D'abord 10 Ko, puis 100Ko, puis 1Mo, etc. TE j'ai eu la surprise que ma connexion ne soit pas bloquée qui même ralentie". Des données qui sont des informations personnelles, des adresses email, des liens Picassa, des conversation Twitter...

Sur son blog Matthijs précise: "Strictement parlant, je n'ai violé aucune politique de sécurité en téléchargeant ces profiles, car Google en permet explicitement l'indexation dans son fichier http://www.google.com/robots.txt

Allow: /profiles

Allow: /s2/profiles

Allow: /s2/photos

Allow: /s2/static

Un porte-parole de Google a déclaré que Mountain View allit vérifié si ce téléchargement à ou non violé des condition d'utilisation du service, avant de préciser: "les profils publics sont usuellement accessibles par les moteurs de recherche, et une sitemap rend possible l'indexation de ces profil publics. Une sitemap ne révèlent aucune information qui n'a pas été définie comme publique par l'utilisateur du profil".