Возможно обратиться к содержимого любого почтового ящика в системе, т.к. для идентификации пользователя используется основанный на имени идентификатор без пароля.
vulners.com/securityvulns/securityvulns:doc:198