Как происходила утечка данных
Когда пользователь заполнял email в форме регистрации или переходил из письма подтверждения подписки, email записывался в ссылку в незашифрованном виде или был доступен в коде страницы.
Когда пользователь заполнял email в форме регистрации или переходил из письма подтверждения подписки, email записывался в ссылку в незашифрованном виде или был доступен в коде страницы.
Рекламные счетчики различных платформ умеют распознавать и записывать такие адреса в свою базу.
К примеру, в Mailchimp проблема была зафиксирована в ссылке отписки — незашифрованный email возникал на конце длинной ссылки отписки в инструменте для отправки транзакционных сообщений Mandrill.
В кеше Google еще недавно хранилось более 47 тысяч активированных пользователями страниц отписки, где можно было взять их email.
Например, UniSender шифрует персонализированные email пользователей с помощью hash-функции. Это легко можно увидеть в письме подтверждения email при регистрации. Потому пользователи UniSender и их подписчики защищены от рисков утечки данных.
Среди всех организаций, которые засветились в отчете, в течение 72 часов отреагировали только интернет-магазин Wish, сервис рассылок Mailchimp и газета The Washington Post.
Магазин Wish за 72 часа поменял процедуру регистрации, чтобы исключить утечку данных.
Mailchimp отредактировал статьи базы знаний про отписку и обновил механизм отписки. Но информации о том, будут ли они обновлять API Mandrill и какие следующие шаги по защите данных, от них пока не поступало.
Авторы отчета призывают все бизнесы, у которых произошла утечка, опубликовать список рекламных платформ, которые стояли у них на сайте и куда могли попасть адреса пользователей. А также ответить на комментарии по поводу защиты пользовательских данных.
Делимся новостями и свежими статьями, рассказываем о новинках сервиса.
Раз в неделю присылаем подборку свежих статей и новостей из блога. Пытаемся шутить, но получается не всегда.
Комментарии