Insgesamt 15 URLs, die Nutzer als Phishing-verdächtig erachtet und via Googles Firefox-Toolbar eingesendet hatten, enthielten nach Angaben des Unternehmens deren Nutzernamen und Passwörter. Die betreffenden Links hat der Suchmaschinenbetreiber eigenen Angaben zufolge mittlerweile gelöscht. Darüber hinaus sei ein Mechanismus implementiert worden, der eventuell vorhandene Login-Daten in eingesendeten URLs aufspürt und verhindert, dass diese in der Phishing-Blacklist veröffentlicht werden. "Wir informieren derzeit alle Nutzer, die diese Informationen versehentlich preisgegeben haben und raten ihnen, die zugehörigen Passwörter zu ändern", hieß es in einem E-Mail-Statement des Unternehmens.

Das Security-Unternehmen Finjan war bereits Anfang Januar auf das Problem aufmerksam geworden und hatte Google entsprechend informiert. Ein Screenshot von Finjan zeigt, wie die Liste mit den betreffenen URLs aussah, die neben Nutzernamen und Passwörtern auch sensible Informationen wie E-Mail-Adressen und Session-Tokens enthalten haben soll. (kf)