Mailchimp, Wish и другие сервисы передавали адреса пользователей в Google и Facebook

Как происходила утечка данных

Когда пользователь заполнял email в форме регистрации или переходил из письма подтверждения подписки, email записывался в ссылку в незашифрованном виде или был доступен в коде страницы.

Рекламные счетчики различных платформ умеют распознавать и записывать такие адреса в свою базу. 

К примеру, в Mailchimp проблема была зафиксирована в ссылке отписки — незашифрованный email возникал на конце длинной ссылки отписки в инструменте для отправки транзакционных сообщений Mandrill. 

В кеше Google еще недавно хранилось более 47 тысяч активированных пользователями страниц отписки, где можно было взять их email.

Как нужно шифровать данные

Например, UniSender шифрует персонализированные email пользователей с помощью hash-функции. Это легко можно увидеть в письме подтверждения email при регистрации. Потому пользователи UniSender и их подписчики защищены от рисков утечки данных. 

Что сделали бизнесы, чтобы решить проблему

Среди всех организаций, которые засветились в отчете, в течение 72 часов отреагировали только интернет-магазин Wish, сервис рассылок Mailchimp и газета The Washington Post.  

Магазин Wish за 72 часа поменял процедуру регистрации, чтобы исключить утечку данных. 

Mailchimp отредактировал статьи базы знаний про отписку и обновил механизм отписки. Но информации о том, будут ли они обновлять API Mandrill и какие следующие шаги по защите данных, от них пока не поступало.

Авторы отчета призывают все бизнесы, у которых произошла утечка, опубликовать список рекламных платформ, которые стояли у них на сайте и куда могли попасть адреса пользователей. А также ответить на комментарии по поводу защиты пользовательских данных.