Tıpkı Twitter yahut Instagram üzerinde olduğu üzere Gmail üzerinde de doğrulanmış kullanıcılar mevcut. Bildiri Tanımlama için Marka Göstergeleri (BIMI) takviyeli bu sistemde şirketlerin e-posta avatarı olarak kullandıkları marka logosunun sahiden kendilerine ilişkin olduğunu bildirmesini gerekiyor. Böylelikle otomatik olarak mavi tik alıyor. Google BIMI sistemi suiistimal ediliyor
Bir güvenlik mühendisi tarafından ortaya çıkarılan olaya nazaran siber saldırganlar BIMI sistemini suiistimal ederek gerçek bir işletme üzere kullanıcılara mail gönderebiliyor. Bu da potansiyel olarak dolandırılma riski taşıyor.
İşin enteresan kısmı mühendis mevzuyu Google’a aktardığında yaşanmış. Google talebi ciddiye almayarak münferit bir olay tanımlaması yapmış. Mühendis de son devayı Tweet atmakta bulmuş. Mühendis kısa müddette ilgi çekince gelince Google da mecburen adım atmak zorunda kalmış.
İlk etaptaki yanıtını tekrar değerlendirmeye alan Google, geçersiz işletme görünümü sağlayan BIMI açığı için bir yama hazırlamış durumda. Kısa mühlet içerisinde yama uygulanmış olacak. Bu ortada açık nedeniyle mağdur olan kullanıcı var mı bilinmiyor.
