Lors de la consultation du blog guntada.blogspot.com, que Google a désactivé, un utilisateur connecté à Gmail pouvait recevoir de manière quasi instantanée un e-mail des serveurs de Google. Ledit blog a servi de démonstration avec aucune intention malveillante, ce qui aurait par contre pu être le cas pour par exemple diffuser un e-mail de phishing auquel un utilisateur aurait été plus sensible avec l'alibi Google.com.
Google a rapidement corrigé le problème, indiquant qu'il était présent dans l'API Google Apps Script. Plusieurs sociétés de sécurité ont avancé qu'il s'agissait d'un trou de sécurité sérieux. Google encourage pour sa part à une divulgation responsable des problèmes de sécurité via security@google.com.