Заметил вот этот пост и тоже вспомнил один эпик фейл в рассылках, на этот раз от компании Evernote. В каждой рассылке есть ссылка «Отказаться от данной рассылки».
Прекрасная функция, не поспоришь. Вот только выглядит эта ссылка вот так:
lists.evernote.com/link.php?M=93041770&N=1408&L=7&F=H
И что удивительно и ужасно — поле «М» — это идентификатор пользователя и кликнув на эту ссылку мы получим страничку вида «Вы правда хотите отписаться?», на которой будет указана реальная почта данного юзера. Никаких там ключей, хешсум или чего-то еще в ссылке нету. В результате меняя циферку в поле «М» мы можем легко проитерироваться от нуля до «сколько-влезет» и получить базу почтовых адресов пользователей Evernote. Вот такая конфиденциальность.
Автор: tangro