在Wish.com,JetBlue.com,quibi.com,Washington ingtonPost.com,NGPVan.com和许多其他组织…的网站上都发现了漏洞。
互联网上的大多数流行网站都在使用第三方分析和广告Javascript代码-根据网站如何设置其营销系统,通常是电子邮件系统和新的用户注册流,用户电子邮件可能会意外和/或故意泄露给全球数据供应链上的公司。
这项研究包括的组织有数以亿计的电子邮件和真实用户-只有Wish.com、Mailchip和华盛顿邮报认真对待这份关于用户电子邮件泄露的报告-希望在报告发送后约72小时内更新他们的电子邮件系统,其他两个组织开始相对较快地采取行动-而其他许多组织要么没有回应,要么已经几周或几个月没有采取任何行动。
所有组织都需要意识到这一严重的用户数据漏洞,但更重要的是,以这种方式共享用户电子邮件的组织需要做出重大努力,向收到用户电子邮件的第三方广告和分析公司提交“合作伙伴删除请求”。
在整个研究过程中,包括了一些被跟踪接收用户电子邮件的广告公司-但这不应该被认为是100%完成的,因为这在一些网站上已经持续了多年,而且不可能从外部了解在任何历史时刻在特定网站或网页上同步数据的所有组织。
此研究中包括的所有泄露用户电子邮件的组织都应公开发布其所有历史广告和分析供应商的列表,这些供应商可能在各自的违规活动期间收到用户电子邮件。
一个需要注意的重要趋势是Google Analytics、Google的DoubleClick、Facebook和Twitter接收用户电子邮件的频率-这些组织应该集体接收删除请求,并且它们都应该已经有了处理此类工作的流程(Facebook很可能已经有了这项技术,这项技术是基于几年前关于这项研究的对话和一份私人报告的额外研究)。
在这项研究中,也有一些“危险信号组织”接收了小型或相对不知名的组织的用户电子邮件,但他们的请求日志中可能会收到大量的用户电子邮件。这些较小的组织需要一种独特类型的审查,因为广告或分析公司可以从从其企业客户那里接收数以百万计的用户电子邮件中获得的力量-剑桥分析效应,如果你愿意…。
许多企业组织通过通过浏览器发送给第三方广告和分析公司的第三方Javascript请求头泄露用户电子邮件。
当任何第三方Javascript代码加载到网站上时,来自用户和网站的元数据可以被传输到控制该代码的第三方域/公司-从技术上讲,这是通过浏览器发送的“请求头”-这些数据可以包括用户正在访问的页面、他们正在使用的设备和浏览器的类型、他们的位置,以及广告和分析公司使用的其他形式的指纹/cookie/URL查询字符串/URL参数。..。
地址栏中同步到Javascript像素的这类电子邮件用户数据通常是由普通人通过“广告拦截器”或通过Safari、Brave和Firefox等浏览器拦截的-这些浏览器使用Javascript/Cookie拦截作为默认功能来保护用户(每个浏览器的处理方式略有不同)。这里包括的这次入侵和研究将影响所有这些网站的Chrome用户,他们经历了这些特定的用户流,并且没有主动阻止所有Javascript……。
大多数被发现的数据泄露(其中一些截至发布时仍是实时泄露)是由草率而危险的增长黑客造成的,该黑客用于改进分析工具的归属跟踪,并用于优化和细分广告活动。
其中几个漏洞涉及“纯文本”用户电子邮件-这是指您只需最少的更改/编码就可以直接阅读URL中的电子邮件。
其中一些漏洞涉及一种被称为“Base64编码”的纯文本形式-简而言之,Base64是一种编程语言功能,不是一种加密形式,也不提供用户保护。base64字符串可以通过许多工具进行解码,甚至gchq的s̶p̶i̶e̶‘s̶提供了一项免费服务,称为CyberChef,用于解析定制的base64编码。
在我详细介绍此漏洞是如何发生的,以及围绕这些示例的具体情况之前,我想简要地承认并赞扬Wish.com的团队改变整个电子邮件体系结构的速度之快