Qbik-club
Дата публикации:Автор:Категория: ;Теги:

Как сайт получил мой e-amil адрес

Друзья, часто ли вы переходите по рекламным баннерам на различных сайтах? Сегодня я бы хотел рассказать об одной интересной уязвимости, при которой Ваш e-mail адрес может попасть в руки злоумышленников и при этом вы об этом даже не будете догадываться. В общем предупреждён — значит вооружён.

Как сайт получил мой e-amil адрес

Как потерять e-mail адрес в один клик?

Скриншот со списком куков сайтаИ так, история началась с того, что я гуляя по просторам интернета наткнулся на рекламный баннер о продаже амулетов, которые, по заверениям продавца, решат все ваши проблемы, принесут деньги, счастье... В общем я сразу перешёл в рассечёте на то, что данный сайт пополнит ряды публикаций о интернет фейках. Однако после изучения сайта подробнее — я просто был в шоке т.к. в куках сайта нашёл свой реальный e-mail адрес! Как он туда попал???

После изучения всёго, что только может быть доступно — я пришёл к выводу, что попасть он мог только во время перехода из рекламной сети на данный сайт. С чего такой вывод? Нигде в Js части сайта данное поле не используется, данная кука была записана при генерации страницы на стороне сервера, соответственно кроме как при переходе из рекламного блока — нигде больше попасть сюда не могла.

Я точно помнил, откуда был совершён переход, зашёл на сайт и увидел, что это блок рекламной сети Яндекса. Совпадение ли, что именно тот e-amil адрес, под которым я авторизирован в кабинете Яндекса попал в куки? Хорошо, что в данный момент был авторизирован под вторым, запасным, адресом. Он и так уже давно в спам базах и можно сказать, что я ничего не потерял. Но что, если бы я был авторизирован под своим основным адресом почты? Как бы я потом «разгребал» нужные письма от спама??? С этим вопросом я и обратился в техподдержку...

Что говорит техподдержка?

Разумеется, о том, что любой сайт вот так без предупреждения может узнать адрес почты — нужно сообщить компании. И перед тем, как писать эту статью — я написал в техподдержку следующее сообщение:

Здравствуйте, хотелось бы выразить замечание по поводу того, что сторонние сайты могут узнать e-amil адрес без моего ведома.

На прикреплённом скриншоте видны все данные, которые я вводил на сайте. Это вымышленные имя и вымышленный номер телефона. Более никаких данных я не вводил и ни на что согласия не давал. Но между тем- в куках браузера находится e-amil адрес Яндекса.

Моё предположение, что e-amil адрес попал туда из сервиса "Яндекс директ" т.к. переход на сайт был совершён из новостного сайта, где был блок рекламы директа.

На основании этого хотелось бы попросить вас разобраться с тем, как подобный, мягко выражаясь, сомнительный сайт, в принципе попал в рекламную сеть яндекса и попросить более внимательно относиться к тому, какие данные получают сайты при редиректе на сайт рекламодателя.

После этого я три дня ждал ответа. И сегодня его получил:

Благодарим Вас за обращение в отдел клиентского сервиса Яндекс.Директ.

Приносим свои извинения за длительное ожидание ответа. В настоящее время из-за большого количества обращений срок ответа увеличен. Со своей стороны мы делаем все возможное, чтобы решить текущую ситуацию.

Как мы видим на присланном скриншоте, поле пароля на сайте пустое, т.е. сайт о Вашей почте ничего не знает. Заметим, что при этом сайт вполне может отображаться в куках браузера, если в настройках браузера стоит сохранение кук.

Что касается площадок рекламной сети Яндекса, то подбор сайтов осуществлялся очень тщательно. Каждая заявка на вступление в Рекламную сеть проходит многоступенчатую модерацию на предмет соответствия правилам участия . Подробная информация также в Помощи: https://yandex.ru/support/direct/general/yan.html.

При этом хотим Вас заверить, что Яндекс действует в рамках действующего законодательства. Все обрабатываемые Яндексом данные охраняются Соглашением о конфиденциальности и не могут быть переданы третьим лицам.

Если у Вас появятся дополнительные вопросы, пожалуйста, обращайтесь. Будем рады на них ответить!

 Знаете, меня откровенно порадовала вот эта фраза: «Как мы видим на присланном скриншоте, поле пароля на сайте пустое, т.е. сайт о Вашей почте ничего не знает». Земной вам поклон, что не рассказали о пароле и не дали полный доступ к почте! Но вообще то всё, что я хотел — это чтоб вы закрыли данную уязвимость и слов: «мы обязательно вставим [цензура] тем, кто допустил данную уязвимость», было бы достаточно. Но на деле вместо этого — рассказ о том, что будьте спокойны, пароля они не знают... оО

Понравилась публикация?

1

Поделитесь ей с друзьями!

Так же рекомендуем...

Загрузка рекомендуемых публикаций

Управление фоном

Информационный портал Qbik использует файлы cookie для обеспечения наилучшей функциональности сайта. Подробности на этой странице. Находясь на сайте Вы автоматически соглашаетесь с этими правилами.

Понятно