Сервис MailChimp допустил утечку адресов электронной почты

image

Теги: утечка данных, электронная почта

Проблема могла быть проэксплуатирована для рассылки фишинговых сообщений или взлома учетной записи пользователя.  

Исследователь безопасности Теренс Иден (Terence Eden) обнаружил в сервисе для массовой отправки электронных писем MailChimp проблему, которая могла привести к утечке адресов электронной почты и раскрытию конфиденциальной информации получателей.

Проблема заключалась в следующем: когда пользователь переходил по ссылке из электронного письма от MailChimp - браузер открывал ссылку и отправлял на новую web-страницу информацию о том, с какого сайта был осуществлен переход. Таким образом администратор открытого сайта мог видеть какую страницу пользователь посетил ранее.

MailChimp также генерировал уникальную ссылку на web-версию копии письма конкретного пользователя, в котором содержались ссылки для изменения адреса электронной почты, а также отмены подписки. При этом, при переходе по ссылке для отмены подписки можно было увидеть полный адрес электронной почты получателя. Таким образом данная проблема могла быть проэксплуатирована для рассылки фишинговых сообщений или взлома учетной записи пользователя.  

«Если вы перейдете по ссылке из письма от MailChimp, ваш адрес электронной почты и информация о том, что вы читаете могут быть переданы владельцу сайта», - пояснил исследователь.

Исследователь уведомил MailChimp о своей находке и в настоящее время компания уже исправила данную проблему. 

MailChimp - американская компания и одноименный интернет-сервис. Компания является одним из лидеров в сфере маркетинга по электронной почте и занимается массовой рассылкой рекламных, новостных и других электронных писем.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus