L’insieme di una vulnerabilità XSS in Google Groups e un documento XML utilizzato per l’intregrazione tra Gmail e Google Groups può permettere ad un attaccante, tramite una URL costruita ad hoc di rubare:

• il token di autenticazione a Gmail
• il nome e l’indirizzo e-mail di tutti i contatti di Gmail

Non è per niente sicuro esporre pubblicamente un documento di quel tipo; ogni nuovo XSS scoperto all’interno di google.com (a causa delle restrizioni del Cross-Domain Restrictions) potrebbe essere usato per rubare in maniera completamente trasparente i dati dell’utente.
Nell’esempio pratico fornito dall’autore viene utilizzato proprio un XSS, ancora funzionante, segnalato su sla.ckers.org.
Per maggiori informazioni consiglio la lettura dell’articolo originale.