Эксперт Digital Security обнаружил три уязвимости на данном ресурсе, две из которых имеют высокую степень риска. Первая из них - Раскрытие полных путей (Full Path Traversal) - позволяет узнать полные пути до приложения. Вторая – CSRF via GET – позволяла изменять любые данные (пароль, почта, другие данные профиля) любому пользователю, если тот откроет пост с вредоносным кодом на любом сайте, где поддерживается вставка картинок с внешних ресурсов (например, на форуме ресурса). После того, как компания Digital Security официально сообщила о существующей уязвимости Google, она была некорректно исправлена, что позволяло провести ту же самую атаку, но через POST. После совместной работы с сотрудниками Google уязвимость была окончательно исправлена.
Кроме того, был обнаружен слабый пароль у одного из пользователей с правами редактора в блоге WordPress, что позволяло при определенных условиях получить Remote Command Execution на данном ресурсе. Детали можно посмотреть здесь: http://habrahabr.ru/company/dsec/blog/194282/
Компания Google выразила официальную благодарность Сергею и разместила информацию о нем в виртуальном "Зале Славы": http://www.google.com/about/appsecurity/hall-of-fame/distinction/