Um usuário descobriu uma falha na Google Apps Script API que permitiu coletar endereços de usuários Google e enviar emails para eles que pareciam ter uma origem legítima, vindo do próprio Google. O usuário criou uma página no Blogspot que automaticamente coletava os dados dos os usuários quando eles a visitavam, e recebiam um email logo em seguida. O ataque foi conduzido no final de semana, e supostamente não teve natureza maliciosa, pois o responsável alegou como objetivo chamar a atenção do público pois ele teria tentado contactar o Google e demonstrar a vulnerabilidade mas a empresa não respondia seus emails. De qualquer forma, a falha já foi corrigida. Veja mais detalhes em Google Apps Script API flaw allowed attacker to impersonate Google.