Collecter des millions d'adresse mail valides n'est pas toujours une tâche facile pour les spammeurs. Mais parfois, des négligences émanant des fournisseurs d'adresses mail peuvent grandement faciliter ce travail. C'est ce que révèle Tux-Planet dans le cas de Gmail, en exploitant le service Google Profiles...
Ce service permet à tous les titulaires d'un compte Google de créer une page de profil, permettant de partager aisément certaines informations. Le profil peut avoir, au choix de l'utilisateur, une URL de la forme https://profiles.google.com/<ID numérique> ou de la forme https://profile.google.com/<adresse Gmail>. Si l'utilisateur opte pour le second choix, la première URL reste valide, et redirige vers la seconde.
C'est cette redirection à partir des ID numériques qui pose problème. En effet, pour faciliter l'indexation des profiles par les moteurs de recherche, Google fournit un fichier Sitemap contenant la liste de toutes les URL de profils, au format numérique, pour éviter d'exposer directement les adresses mail dans ce fichier.
Mais, comme le montre Tux-Planet, il suffit d'écrire un script testant une à une les URL de ce fichier (qui en comporte plus de 35 millions) pour vérifier si elles sont redirigées ou non. Si oui, l'URL de redirection permet de connaitre l'adresse Gmail du propriétaire du profile. Tux-Planet a ainsi obtenu plus de 15 000 adresses en moins d'une heure...
En attendant que Google corrige (ou pas...) ce problème, je vous conseille vivement de configurer votre profil Google pour qu'il utilise l'URL numérique plutôt que l'URL basée sur l'adresse Gmail.