安全是有分量的

香港ddos防御_香港服务器防御_指南

2022-06-28 20:40栏目:锐观点

香港ddos防御_香港服务器防御_指南

今天公布的一项研究显示,多个在线服务和产品正在向第三方广告和分析公司泄露属于其用户的电子邮件数据。

报告中提到的网站包括Quibi。com,捷蓝航空。com,KongHQ。com,NGPVan。com,Mailchimp的Mandrill。华盛顿邮报。com,祝你好运。通用域名格式。他们之间有数亿封电子邮件。

然而,这些并不是唯一受到影响的;一家提供网络分析和测试系统的公司Victory Media的扎克·爱德华兹(Zach Edwards)说,目前有一个未知的数字正在泄漏这类数据。在某些情况下,电子邮件数据会泄露给数十家此类服务机构。

在接收电子邮件信息的各方名单上,有提供分析、广告、跟踪、优化和营销工具的主要服务,如谷歌、Facebook、Twitter、Mixpanel、Wistia、Pardot、CrazyEgg、New Relic、DrawBridge等。

Edwards将问题归咎于营销分析系统的不当设置,该系统可能接收来自电子邮件系统的用户电子邮件地址、用户注册或取消订阅流。

详细信息通过web浏览器在请求标题中传递,可以是从用户访问的页面到他们的位置、使用的设备类型或其他形式的信息:指纹、cookie、URL查询字符串或参数的任何内容。

Edwards指出,使用广告cdn防护搜索引擎可以防止通过JavaScript在URL栏中传递电子邮件数据。默认情况下,Safari、Brave和Firefox浏览器中也可能出现这种情况。但在谷歌Chrome中,用户必须明确禁用JavaScript。

在某些情况下,以这种方式泄漏的电子邮件数据以纯文本形式传递,而在其他情况下使用简单的base64编码,火绒5.0防御ddos,因此保护仅限于表面。

爱德华兹称泄密为数据泄露,因为电子邮件地址被视为个人信息,因此受到许多国家法规和法律的保护。

在今天的报告中,研究人员提供了几个场景,通过收集网站数据的JavaScript代码将用户的电子邮件泄漏到各种第三方服务中。

一个例子是Quibi短格式移动视频平台,安全狗防御不了ddos,当新用户点击确认链接设置帐户时,该平台会传递新用户的电子邮件。

爱德华兹告诉BleepingComputer,自建cdn防御ddos,该公司于4月17日收到一份报告,但一个人最近才发现了这份备忘录,并开始处理这个问题。显然,他们做了一些修改来解决这个问题。我们联系了Quibi,但在发布时没有收到回复。

下面您可以看到新用户的纯文本电子邮件地址如何在URL中显示,以及如何传递到SnapChat和Twitter的广告端点。测试时,谷歌、Facebook、CivicUK、LiveRamp、SkimAds、Tapad的其他端点也会选择用户数据。

另一家泄露base64编码用户电子邮件的公司是Wish。爱德华兹发现。这些数据至少流向了谷歌、Pinterest、Facebook、Criteo、PayPal和Stripe这位研究人员说,一旦他通知了该组织这个问题,他们就设法重建了电子邮件基础设施,并通过电子邮件启动了一个新的自动登录流程。他们在令人印象深刻的72小时内做到了这一点。

Confinant的Eliya Stein证实了爱德华兹在《愿望》中的发现。com,称点击营销电子邮件链接的订阅者的地址泄露给了第三方。他评论道:

捷蓝航空采取了不同的立场,尽管在三月份被告知了问题,但电子邮件数据仍在继续泄漏。他们回复爱德华兹说,他们将向第三方发送用户数据,因为这将违反法律。

然而,在他们的网站上创建帐户时,仍然会发生泄漏。提供电子邮件地址后的步骤是将信息传递到URL并发送给数十个第三方。

KongHQ有一个类似于捷蓝航空的注册表格。一旦用户添加电子邮件并进入下一步,安全狗可以防御ddos,数据就会被推送到URL中,并发送给广告和分析合作伙伴。

爱德华兹在二月份对该问题的报道没有回应该网站如何添加新用户。没有回复,泄漏可能仍在发生。

研究人员测试的另一个组织是民主党数据代理NGPVAn。com/EveryAction。com及其客户。他们为政治和非营利客户提供CRM和营销服务。

本例中的泄漏发生在取消订阅过程中,即在URL末尾添加用户电子邮件时。这已经发生了好几年了,研究人员说研究人员发现Google Analytics和Microsoft endpoint接收到数据,如下图所示:

父母、成长中的孩子的流行杂志,与取消订阅时事通讯服务处于同一位置,通过纯文本将电子邮件地址传递给来自谷歌的多个产品(分析、双击、标签管理、联合)。

通过Mailchimp,高防免费cdn1001无标题,Edwards发现泄漏发生在他们的事务性电子邮件平台Mandrill上。遗留API负责公开电子邮件地址,但不是直接公开。

Mandrill客户端可以选择重定向通过其API发送的取消订阅URL,以便在URL中包含用户电子邮件。爱德华兹向该公司发出警报后,该功能已在一篇旧版支持文章中被删除。

然而,除了这次行动,Mailchimp没有提供他们将如何解决这个问题的任何细节。