OAuthを悪用したspam? shoppybag の概要

昨日、勉強会仲間のエンジニア集団で飲んでいたらこんな話題が上がりました。
 
「shoppybagというサービスの招待メールが知りあいから来たので、
 試しに登録してみたらgmailのアカウントが乗っ取られ、アドレス
 帳のアドレスへ勝手に招待メールを送信された」
 
とりあえずの疑問点は2つ
・どうやってグーグルのアカウント情報を不正取得したのか
・どうやって乗っ取ったアカウントを自動操作したのか
 
んで、これらを共通して解決できるのが
Google Mail API + OAuth
な気がしてきた。
 
そんなところから調査開始。