Эпик фейл с рассылками у Evernote

    Заметил вот этот пост и тоже вспомнил один эпик фейл в рассылках, на этот раз от компании Evernote. В каждой рассылке есть ссылка «Отказаться от данной рассылки».



    Прекрасная функция, не поспоришь. Вот только выглядит эта ссылка вот так:
    lists.evernote.com/link.php?M=93041770&N=1408&L=7&F=H
    И что удивительно и ужасно — поле «М» — это идентификатор пользователя и кликнув на эту ссылку мы получим страничку вида «Вы правда хотите отписаться?», на которой будет указана реальная почта данного юзера. Никаких там ключей, хешсум или чего-то еще в ссылке нету. В результате меняя циферку в поле «М» мы можем легко проитерироваться от нуля до «сколько-влезет» и получить базу почтовых адресов пользователей Evernote. Вот такая конфиденциальность.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 76

      +10
      Я когда отписывался от рассылки также налез на эту багу, правда зарепортил и забыл. Но вот похоже что меня не поняли(
        +2
        Можете в личку прислать номер тикета при обращении в нашу техподдержку и хотя бы примерно дату обращения? Сейчас ради интереса попробовал поискать по базе запросов в техподдержку, но не нашел ничего похожего (кроме одного сегодняшнего репорта, написанного по факту опубликования данной статьи).
          +1
          Сегодня утром я уже подсчитал колличество адресов которое были в даной рассылке, тема «Портрет русскоязычного пользователя Evernote и другие новости сервиса»: 536 639
          В прошлой рассылке, с темой «Итоги лета в Evernote: новые приложения, полезные советы и множество обновлений», было: 249 663
          Это 786 302 адресов, уникальность по этих рассылках составила 94%, и того имеем уникальных адресов 739 124 уникальных адресов для спама.

          P.S. Расчеты проводились исключительно в ознакомительных целях, база майлов не сохранялась :)
          +46
          Собиратели спам баз порадовались этому посту
          • НЛО прилетело и опубликовало эту надпись здесь
              –6
              Вообще нехорошо: следовало бы попытатся уведомить компанию об их проколе. От вашего поста может пострадать и компания и её пользователи.

              Стоит ли так самоутверждаться?
                +1
                Проблемы индейцев вождя не е… т :-)
                  +6
                  шерифа, вроде бы. :)
                    +11
                    И не индейцев, а негров, да. Сколько людей — столько и версий :)
                  +2
                  Ошибка детская. Это не какая-нибудь дыра в недрах ПО, но откровенное неуважение к пользователям сервиса. Надо быть внимательней. В первом комментарии уже говорилось о сообщенном багрепорте, видимо проигнорировали. Ррр… :)
                  +1
                  нет, ну конечно, разработчики софта виноваты.

                  но представьте что это ВАШ рабочий емаил утекает сейчас к спамерам? топик стартер я так понял палец о палец не ударил чтобы сообщить разрабам перед публикацией.

                  p.s. граждане, любящие строго-строго осуждать чужие ошибки, даже вон не ленятся, карму сливают…

                    0
                    Поддерживаю.

                    Человека который публично рассказал об уязвимости вместо того, что бы сделать постараться что бы ее закрыли — плюсуем, тех кто против — минусуем.
                      0
                      Спамеры уже давно могли втихаря слить базу. Это же не какая-то уязвимость, которую еще попробуй найти, тут всё на поверхности.
                    +7
                    Вы так говорите, как будто наблюдается дефицит адресов e-mail.
                      0
                      Как бы то ни было, целевые спам-базы всегда будут в цене, ибо конкретный юзер получает спам «по интересам», по этому пробиваемость на порядок выше.
                    +7
                    Да и поотписывают многих. То-то народ будет удивляться.
                      +4
                      позор
                        0
                        Вы уже отписаны от информационных писем Evernote.

                        Кто еще перешел по ссылке?
                          +5
                          Автор — Владимир. А некто по ссылке — вроде как Стас.
                          Разумно было дать не свой адрес. Мало ли у них ещё где какая лажа и можно ещё какие-нибудь приватные данные получить.
                        • НЛО прилетело и опубликовало эту надпись здесь
                            +6
                            Подлагивает. Видать народ пошел скрипты запускать. :)
                            Ну хоть так заметят.
                              +6
                              Ан нет, оказывается скрипт был неоптимальным. :)
                              Около 500 адресов в минуту — неплохо. Думаю не заметят.
                                +1
                                Не забудьте поделиться…
                                  0
                                  Какой-то хилый скрипт. wget в 10 потоков дает 800 адресов в минуту. Больше запускать лень, да и хилую vps-ку жалко:)
                                    +4
                                    Долго будете собирать!

                                    Асинхронный скрипт на питоне молотит около 10к адресов в минуту на хреновом провинциальном интернет-канале, пока собрал около 100 тысяч пользователей, еще работает…
                                      0
                                      И что вы будете делать с этими адресами?
                                        0
                                        Э… Да выкину наверно, однако после 3-й сотни стало уже любопытно сколько же их там в конце-то концов…
                                          +2
                                          По даной рассылке колличество адресов: 536639
                                          По рассылке по которой я ранее обнаружил баг: 249663
                                  –2
                                  Fail >_<
                                    +13
                                    Блин, хотел сообщить им, сделать доброе дело. Так оказывается написать им что-либо постороннему человеку можно только через Copiny, а там надо региться. Ну разве не сами себе злобные буратины?

                                    Может у кого-нибудь есть какой-то email?
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                        +1
                                        Если юзер еверноута, то через веб-морду можно запостить траблу без реги на копини.
                                          –4
                                          нашли проблему) региться в Copiny 5 секунд, через соцсервисы, да и по email подтверждение не нужно
                                            0
                                            Я не пользуюсь соцсервисами и email им давать не хочу. Но это для меня не проблема.
                                            0
                                            Это же им нужно. Вот пусть их и парит то, что о баге так сложно сообщить.
                                            +7
                                            > Может у кого-нибудь есть какой-то email?

                                            Теперь много у кого есть много каких-то email.
                                              +1
                                              Так оказывается написать им что-либо постороннему человеку можно только через Copiny, а там надо региться. Ну разве не сами себе злобные буратины?
                                              Я давно задаюсь вопросом, почему нет единой технологии для связи с администраторами сайта? И соответствующего расширения для браузеров.
                                              Ну гораздо же логичнее было бы перейти на сайт и нажать кнопку в браузере, открывающую окно для связи, чем рыскать по сайту, по его подвалам в поисках пресловутых данных для связи, которые могут быть запрятаны очень глубоко.
                                              +21
                                              Вообще-то, как по мне, хорошая практика ссылок-отписок, отписывать сразу без дополнительных дурацких вопросов. Иногда ещё просят залогиниться прежде чем… Сразу в спам, сервис в бан. Задрали. Никакого уважения к личному времени пользователя. Так им!
                                                +4
                                                Согласен, да. Если внизу есть ссылка я перехожу и отписываюсь. Если меня просят залогиниться (а я что, помню логин от сервиса, от которого хочу избавиться?) или ссылки нет — add to spam. Сами виноваты.
                                                  –1
                                                  А если случайно пользователь нажал на ссылку? Всякое ведь бывает.
                                                    +9
                                                    Ему откроется страничка с содержанием: «Вы успешно отписались от такой-то рассылки», а ниже ссылка «Если вы передумали отписываться, нажмите сюда».

                                                    Этот кейс на много лучше такого: «А вы уверены что хотите, чтобы наша замечательная рассылка больше не беспокоила вас?».

                                                    Вероятность случайного нажатия 1 к 1000, а то и больше.
                                                  –2
                                                  Хороший бесплатный чёрный пиар для компании.
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                      –8
                                                      Автору если он порядочный человек и такой борец за конфиденциальность стоило бы написать об этом в Evernote, а не на Хабр.

                                                      Ваш email узнают в интернете!
                                                      Вас отпишут от рассылки Evernote!
                                                      Срочно в номер!

                                                      Мой email и так без труда можно спарсить в сети, не будут приходить новости от Evernote? Я это переживу. Это конечно фейл, я не спорю, но на epic fail никак не тянет.
                                                        +1
                                                        Сравните хотя бы с фейлом Мегафона, любой мог прочитать чужие личные смс, а тут что? Я узнал чей-то (чей?) почтовый адрес!
                                                          –9
                                                          >Я узнал чей-то (чей?) почтовый адрес!

                                                          kynpuk@gmail.com вот вам мой, радуйтесь ещё больше
                                                          –1
                                                          Минусующие, вы хоть обоснуйте.
                                                            –2
                                                            В комментариях к топику несколько человек указало, что сообщали в Evernote о данном баге, однако они никак не отреагировали. Единственный возможный способ добиться устранения данного бага — публично о нём заявить. Что и было сделано. Кто им виноват, что они делают баги и не реагируют на репорты?
                                                              –1
                                                              Ну не несколько человек, а один.

                                                              Но теперь я понял минусующих, если у вас не премиум-аккаунт, обратится к тех. поддержке напрямую вообще нельзя, никак, какой уж тут баг-репорт.
                                                                +2
                                                                Очень даже можно.
                                                                  0
                                                                  Владельцы премиум-аккаунтов могут обратиться к сотруднику техподдержки напрямую, заполнив специальную форму. Ваш запрос будет обработан в течение одного рабочего дня.

                                                                  www.evernote.com/about/intl/ru/contact/support/

                                                                  Остальное как я понимаю публично через Copiny
                                                                    +2
                                                                    а) через Copiny можно отправлять и приватные (скрытые) запросы в техподдержку. Мы видим эти обращения точно так же как и отправленные через форму.
                                                                    б) ту форму можно при необходимости заполнить и не премиум-пользователям (премиум-пользователей мы просто обрабатываем в первую очередь).
                                                                      0
                                                                      Ну тогда опять не понимаю минусующих

                                                                      Кто-то один куда-то написал, его «похоже не поняли», не понятно вообще дошел репорт до Evernote или нет, ответа что в Evernote хотя бы получили репорт нет.

                                                                      Может все таки надо было в Evernote писать а не на Хабр?
                                                                        +2
                                                                        Как я написал выше, пока я подобных обращений (кроме тех, что были отправлены уже сегодня после опубликования данного топика) ни в англоязычной, ни в русскоязычной техподдержке, к сожалению, не нашел. Разумеется, было бы лучше, если об этом сообщили сначала нам, кто бы спорил.
                                                            +1
                                                            согласен, это называется «подосрать компании Evernote»
                                                            +2
                                                            Ваш email можно спарсить, но не факт, что он рабочий. А адрес из подписки наверняка проверяется, для спамеров самое то
                                                              0
                                                              У поста удивительный хабракат, под ним ничего видимого :) Может он не нужен?
                                                                0
                                                                Теперь статью более 600 знаков без хабраката не напишешь. Вот и появляются такие конструкции.
                                                                  0
                                                                  Если за 600м знаком не видимый символ, то может сократить текст на пару символов? )
                                                                  Пустота под катом внезапна :)
                                                                +1
                                                                Зашел на evernote и сменил емайл на несуществующий, благо там такое можно :) Спамьте! :)
                                                                  +3
                                                                  теперь осталось пароль забыть
                                                                  +3
                                                                  Неделю Epic Fail'овых рассылок объявляю открытой…
                                                                    +2
                                                                    Так это же Email Marketer, он еще и на половине скидочных сайтах используется :)
                                                                    +1
                                                                    Спасибо всем, кто прислал нам в Evernote ссылку на этот пост. Мы сообщили о проблеме нашим администраторам.
                                                                      +2
                                                                      Ну вот и отключили эту функцию. А я только, вроде, отладил программку на Go. Всё-таки неплохая получилась задачка для примерки на себя нового языка программирования.
                                                                      0
                                                                      Все кажется еще более весело. Если 93041770 это автоинкремент идентификатор, то это почтовые ящики не только Evernote, но и юзеров других кастомеров, т.к. у Evernote нет еще 93 миллионов юзеров, а всего-то около 9 миллионов.
                                                                        +1
                                                                        Наши администраторы сообщили, что закрыли дыру: теперь при отдаче сервером URL на отписку от рассылки адрес электронной почты там больше присутствовать не будет (т. е. человек должен будет ввести адрес вручную). В дальнейшем мы сделаем так, чтобы восстановить возможность отписки без ввода адреса (что для пользователей более предпочтительно), не компрометируя при этом другие адреса из-за указанной особенности формирования ссылок в Interspire.
                                                                          –1
                                                                          Только вот изменить URL в миллионах уже разосланных писем не получится. Придется либо картинкой рисовать адрес, либо логиниться, либо отписывать совсем без подтверждения.
                                                                            +1
                                                                            Изменять URL и не надо — получить по этим URL адреса другие люди теперь не смогут.
                                                                            0
                                                                            Я бы посоветовал изменить вам сам процесс отписки — отписывать автоматически.
                                                                            Прочитайте ветку: habrahabr.ru/post/142135/#comment_4755003
                                                                            +1
                                                                            www.google.ru/search?q="%40gmail.com" — ну и ещё ключевых слов добавить по вкусу

                                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                            Самое читаемое