Mixpanel公司产品SDK错误 将客户密码置于泄露边缘


Mixpanel成立于2009年,是一家位于美国的数据分析服务提供商。该公司在上周通过电子邮件通知其客户,由于软件开发工具包(SDK)中引入了一个错误,意外收集了客户在隐藏(Hidden)字段和密码(Password)字段中输入的数据。

在1月5日,Mixpanel的一位客户向其开发人员报告了这个问题。在经过调查后,Mixpanel确认作为其分析产品之一的Mixpanel Autotrack正在收集隐藏字段和密码字段中输入的数据。

Autotrack是Mixpanel公司在2016年8月份推出的一项新功能,旨在简化使用启动器的核心服务跟踪网站以观察用户行为的过程。

在没有Autotrack的情况下,要正确实现Mixpanel的分析功能需要安装一个JavaScript库,然后将这个特性添加到不同的网站页面中。Autotrack则使这个设置变得更为简单,只需点击网站组件并给它们命名,就可以对页面数据进行追踪,也可以通过这些组件进行更为复杂的分析。

“我们了解到,客户反应的问题来源于在2017年3月份我们对React JavaScript库进行了更改。”Mixpanel在发送给客户的电子邮件中写道。

该公司补充说:“这一更改将隐藏字段和密码字段的值复制到了输入数据的属性中,而这些字段属性原本就是由Autotrack收集的,这也就导致了客户在隐藏字段和密码字段输入的数据被Autotrack意外收集了。”

Mixpanel在确认这一事实之后,在1月9日设置了服务器端筛选器,用以阻止Autotrack继续对这些数据进行收集。然后,删除了Autotrack收集的所有敏感数据,并发布了SDK更新以解决这个问题。

此外,为了确定数据是否遭到了泄露,Mixpanel还对其自身服务器进行了安全审计。

“我们不相信有任何Mixpanel员工或第三方下载或访问了这些数据。”Mixpanel在其电子邮件中说。

 

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

作者
折腰的五斗米
折腰的五斗米 世间诸多不平,如我码字千万,却换不来你一句留言!!!
分享到