米Googleのインターネットメールサービス「Gmail」のアドレスとパスワード約500万人分が漏えいしたと、複数の米メディア(USA TODAYTNWIBTimesなど)が現地時間2014年9月10日に報じた。しかし、パスワードにはGmailやGoogleアカウントに使われていないものも含まれているという。

 報道によると、仮想通貨「Bitcoin」に関するロシアのオンラインフォーラムに、Gmailのログイン情報リストのファイルが「tvskit」と名乗るユーザーによって9月9日に投稿された。ファイルには、493万件のGmailアドレスとパスワードの組み合わせがプレーンテキストで記載されている。

 ほとんどがロシア語、英語、スペイン語を話すユーザーのもので、tvskitは「リストの60%は本物だ」と主張しているという。

 しかしパスワードの多くは、長い間使われていない古いものか、あるいは別のサイト用のものだろうとセキュリティ専門家は見ている。例えば、あるWebサイトでユーザー登録をする際、Gmailアドレスをユーザー名として使い、(Gmail用パスワードとは異なる)新しいパスワードで登録する場合がある。中にはGmail用と同じパスワードを用いるユーザーもいる。専門家らは、問題のデータが直接Gmailから流出したのではなく、こうした複数の別サイトから盗まれた可能性があると考えている。

 デンマークのセキュリティ企業CSIS Security Groupは、Gmailアドレスが公開された被害者のうち「一度もそのパスワードをGmailあるいはGoogleアカウントに使用したことがない」というユーザーを少なくとも5人確認している(米InfoWorldの報道)。また米Mashableの従業員の1人は、公開されたリストの中に、もう何年も使っていない自身の古いGmailパスワードを見つけたという。

 Google広報担当者はメディアの取材に対し、「当社のシステムが侵害を受けた形跡はない」と回答している。Googleは9月10日にあらためて公式ブログで、「当社システムへの不正侵入によって発生したものではない」と主張。また「公開されたユーザー名およびパスワードのうち、有効なものは2%に満たない」と述べた。