Google sade sent på söndagen att attacken riktade mot dess Gmail sevice lokaliserats i Iran, även om företaget har vidtagit åtgärder för att stoppa ytterligare avlyssning försök.
Google sa ”de drabbade främst fanns i Iran”, även om företaget inte närmare ytterligare om man trodde att deras konton har äventyras.
Roel Schouwenberg, som är säkerhetsexpert på Kaspersky Lab, till IDG News, anser att något landets underrättelsetjänst sannolikt har haft ett finger med i spelet.
Google upptäckte att hackare hade fått en Secure Sockets Layer (SSL) certifikat som är giltigt för en webbplats i domänen google.com. SSL-certifikat som används för att kryptera kommunikationen mellan två enheter att ingen annan på nätverket (oftast internet) ska kunna avlyssna eller manipulera.
Privata företag, som kallas certifikatutfärdare (CA), tjänar pengar på att utfärda digitala certifikat, även om experter har påpekat att det finns många brister i hur utfärdas som skulle kunna undergräva säkerheten.
I det här fallet en holländsk CA, DigiNotar utfärdade ett SSL-certifikat för domänen google.com den 10 juli, utan Googles kunskap. Det har sedan återkallat certifikatet.
Med hjälp av en falsk certifikatet skulle ge angripare att fånga inloggningsuppgifter för en persons Gmail-konto utan en varning från den webbläsare som något misstänkt händer, ge dem tillgång till e-postkontot.
