Запустить email-рассылку Создайте письмо за 15 мин
Новости

Mailchimp, Wish и другие сервисы передавали адреса пользователей в Google и Facebook

Причина — плохое шифрование данных клиентов

На Medium опубликовали резонансное исследование утечки данных пользователей больших сервисов. Из-за проблем в шифровании email-адреса попадали в рекламные системы Facebook, Google, CrazyEgg и другие.

Как происходила утечка данных

Когда пользователь заполнял email в форме регистрации или переходил из письма подтверждения подписки, email записывался в ссылку в незашифрованном виде или был доступен в коде страницы.

Утечка на примере Kong HQ
Утечка на примере Kong HQ

Рекламные счетчики различных платформ умеют распознавать и записывать такие адреса в свою базу. 

К примеру, в Mailchimp проблема была зафиксирована в ссылке отписки — незашифрованный email возникал на конце длинной ссылки отписки в инструменте для отправки транзакционных сообщений Mandrill. 

В кеше Google еще недавно хранилось более 47 тысяч активированных пользователями страниц отписки, где можно было взять их email.

Как нужно шифровать данные

Например, UniSender шифрует персонализированные email пользователей с помощью hash-функции. Это легко можно увидеть в письме подтверждения email при регистрации. Потому пользователи UniSender и их подписчики защищены от рисков утечки данных. 

Пример письма со ссылкой, где зашифрован email пользователя
Пример письма со ссылкой, где зашифрован email пользователя

Что сделали бизнесы, чтобы решить проблему

Среди всех организаций, которые засветились в отчете, в течение 72 часов отреагировали только интернет-магазин Wish, сервис рассылок Mailchimp и газета The Washington Post.  

Магазин Wish за 72 часа поменял процедуру регистрации, чтобы исключить утечку данных. 

Mailchimp отредактировал статьи базы знаний про отписку и обновил механизм отписки. Но информации о том, будут ли они обновлять API Mandrill и какие следующие шаги по защите данных, от них пока не поступало.

Авторы отчета призывают все бизнесы, у которых произошла утечка, опубликовать список рекламных платформ, которые стояли у них на сайте и куда могли попасть адреса пользователей. А также ответить на комментарии по поводу защиты пользовательских данных. 

Что это значит для меня

Чем круче персонализация — тем сложнее механизмы защиты пользователей. Мы хотим показывать пользователям рекламу по email, но не хотим, чтобы адреса попадали в Facebook без нашего согласия.

Пользуйтесь надежными рекламными сервисами и не стесняйтесь задавать разработчикам, настройщикам рекламы и службам поддержки вопросы о безопасности их сервиса.

Комментарии