בזמן שאתם מחפשים את פיקצ'ו, מיוטו ודרגונייט, יכול להיות שמישהו פורץ לכם לחשבון הגוגל, קורא את המיילים ושומר תמונות מפלילות שגיביתם בגוגל Photos.
זמן קצר לאחר השקת המשחק בשבוע שעבר, גילה מהנדס התוכנה אדם ריב כי מי שהוריד את המשחק למכשיר אייפון והתחבר דרך חשבון גוגל נתן למשחק וליוצריו גישה מלאה לכל המידע שגוגל מחזיקה עליו.
"בדרך כלל תראו הודעה קטנה שאומרת לאיזה מידע האפליקציה תוכל לגשת - משהו כמו 'האפליקציה הזו תוכל לראות את כתובת המייל והשם שלכם'. ", הסביר ריב בבלוג שלו. "מסיבה כלשהי זה לא מוצג במקרה הזה, אבל התחברתי בכל זאת. ואז בא לי לראות אילו הרשאות ניתנו לאפליקציה. להגיד שהייתי בהלם יהיה ניסוח עדין".
לדבריו, המשחק קיבל מין הרשאת "מאסטר", המכונה "גישה מלאה" לחשבון הגוגל. גוגל עצמה לא חושפת בדיוק מה נכלל בגישה כזו, אך ככל הנראה היא כוללת יכולת לקרוא את הג'ימייל, לשלוח מיילים, לראות ולערוך אנשי קשר וקבצים בגוגל דרייב, לגשת לתמונות שמגובות בגוגל Photos ("אלבומים" או "תמונות") וכמובן להיסטוריית המיקומים, שהמשחק מבוסס המיקום עושה בה שימוש כדי להחליט איפה לשים פוקימונים.
ריב טען כי מעבר לעובדה שמדובר בחוצפה לדרוש גישה לכל כך הרבה מידע, היא מסכנת את המשתמשים. זאת מאחר שג'ימייל משמש אצל רוב האנשים ככלי לאיפוס סיסמאות באתרים אחרים, ואם יצליח האקר לפרוץ לשרתי המשחק הוא יוכל לגנוב את כל חשבונות הרשת של כל המשתמשים שנתנו למשחק גישה לחשבון הגוגל.
חברת Niantic Labs, שיצרה את המשחק עבור נינטנדו, מיהרה להגיב וטענה כי מדובר בטעות: "לאחרונה גילינו שתהליך יצירת החשבון בפוקימון גו למכשירי iOS מבקש בטעות הרשאת גישה מלאה לחשבון המשתמש בגוגל", אמרה לכלי תקשורת. "לאחר שנודע לנו על השגיאה, התחלנו לעבוד על תיקון לבקש גישה רק למידע פרופיל הגוגל הבסיסי, בהתאם למידע שאנו ניגשים אליו בפועל".
חוקרי אבטחה שבדקו את קוד המשחק גילו כי הוא אכן מעולם לא עשה שימוש בגישה מלאה לחשבון הגוגל, אלא רק בשם המשתמש וכתובת המייל לצורך זיהוי ושליחת עדכונים. אחרים טוענים כי הסיבה של-Niantic היתה גישה מוחלטת לחשבונות הגוגל היא שמדובר בחברה שעד לפני חצי שנה היתה חברת בת של גוגל עצמה.
גישה מוחלטת לחשבון הגוגל שלכם היא גם לא הסכנה היחידה הטמונה במשחק המפלצות החביבות: כמו כל אפליקציה פופולארית שזמינה להורדה רק במדינות מסוימות, ברחבי הרשת מופצים קבצי התקנה שלה למכשירי אנדרואיד במדינות בהן המשחק לא שוחרר עדיין - וחלקם, כמובן, לא בדיוק כשרים.
חברת האבטחה Proofpoint גילתה קובץ התקנה של המשחק שהופץ ברשת כאשר אליו מצורף קוד זדוני שיכול להשתלט לחלוטין על סמארטפון או טאבלט אנדרואיד. אמנם, רוב הקבצים שהיא מצאה לא הכילו את הקוד הזדוני, אך למרות זאת ההמלצה היא לא לקחת סיכון ולהמתין עד שהמשחק יהיה זמין להורדה בגרסה המקומית של חנות Google Play.