>> а вот со стороннего сервера маловероятно.
> ну да, как же ему появиться, если его система отшивает.Да и до отшивания. Авторизация между ГТоком и сторонним сервером всегда была делом тонким.
Во-первых, пользователь ГТока никакого запросного сообщения (хоть спамового, хоть иного) от абонента не получал - он "получал" стандартный попап примерно такого содержания: "Пользователь X запросил авторизацию. Разрешить? - Да - Нет".
Во-вторых, попап этот такой скромно-незаметный, что авторизацию часто не подтверждали ожидающие его - элеменарно не видели запроса, даже, если им явно говорили где примерно искать.
В-третьих. Если авторизация не была подтверждена до закрытия сеанса гугловцем, то абоненты впоследствии больше не могли установить видимость. Сообщения отправлялись/принимались, но видимость онлайн/офлайн отсутствовала. Эту проблему как правило не решала даже повторная авторизация.
И это не говоря уже о том, что для отправления запроса нужно точно угадать имейл, который, как уже говорилось, на всех заборах не пишут. Да и что спамеру с одного-двух-десяти адресов? Им нужны тысячи. Тысячи запросов, о которых большинство адресатов так никогда и не узнают. Ну и кто будет тратить столько времени и усилий вхолостую?
Так что, ещё до введения "отшивания" сторонних серверов спамить через запросы в ГТок если и было условно возможно, то разве что через СОБСТВЕННУЮ соцсеть Г+, где проблема угадывания адреса отпадает - достаточно просто оказаться либо в кругах контакта с ненастроенным чатом, либо в нужном кругу контакта с настроенным чатом. Второе для спамера маловероятно.