Сейчас получил эту SMS-ку. URL очень даже легитимный, это вполне реальный сайт google https://apis.google.com, но если декодировать этот URL, то получиться: https://apis.google.com/additnow/l?applicationId=1&ls=ogb&lu=https://is.gd/uvTLt9 В параметре lu открытый редирект! Именно этот URL я проверять не буду, но можно поменять на мой домен и проверить его: https://apis.google.com/additnow/l?applicationId=1&ls=ogb&__lu=https://www.flenov.info Класс, меня перекинуло на мой сайт. Открытый редирект в чистом виде. Люди, которые доверяют google могут кликнуть на ссылке, потому что она выглядит легитимно, но оказаться на другом сайте. Который так же будет выглядеть как Google, просить ввести пароль и просто воровать его. Интересно, Google знают об этой уязвимости? Будут фиксить или им всё равно? Я разбирал эту уязвимость тут.