ИБ-эксперт Теренс Иден нашел в сервисе для массовой отправки электронных писем MailChimp проблему, которая могла повлечь утечке почтовых адресов и компрометации конфиденциальных данных адресатов.
При переходе пользователя по ссылке из электронного письма от MailChimp браузер открывал ссылку и передавал на новую веб-страницу данные о том, с какого ресурса был произведен переход. Кроме того, администратор сайта, открытого в браузере, мог просматривать информацию о странице, которую ранее посещал пользователь.
Также MailChimp создавал уникальную ссылку на веб-версию копии письма пользователя, где были указаны ссылки для коррекции электронного почтового адреса и отмены подписки. Переходя по ссылке для отмены подписки, можно было увидеть полный электронный почтовый адрес получателя. Эта проблема могла применяться для рассылки фишинговых писем или взлома пользовательского аккаунта.
Иден сообщил MailChimp о проблеме и на данный момент специалисты компании уже исправили эту проблему.
