Пользователь портала Reddit под псевдонимом sickcodebruh420 опубликовал сообщение от компании Mixpannel, в котором она уведомила пользователей о том, что один из сервисов компании Autotrack собирает и хранит пароли пользователей.
Компания Mixpanel – разработчик одноименной аналитической системы, предоставляющей пользователям набор сервисов по управлению сайтом. Одним из таких сервисов является Autotrack, призванный помочь владельцам сайтов собирать данные о поведении пользователей.
Однако, как выяснилось, сервис также собирает и хранит пользовательские пароли. «5 января 2018 года один из клиентов сообщил нам, что Autotrack отправляет значения полей пароля в раздел События […] Данная функция в сервисе не предусмотрена и не должна присутствовать в Autotrack», – следует из заявления компании. Как пояснили представители Mixpanel, подобное поведение сервиса вызвано ошибкой, появившейся после изменения библиотеки JavaScript React в марте 2017 года.
По заверениям компании, у третьих сторон не было доступа к информации о паролях пользователей. Пользователям Mixpanel рекомендуется как можно быстее обновить свои SDK до актуальной версии.
Компания также обнаружила в своем программном обеспечении уязвимость, позволяющую похитить пароль посетителя сайта, если он использовал плагины, «помещающие конфиденциальные данные в атрибуты элемента формы». Mixpanel – система для аналитики и анализа поведения пользователей, позволяющая отслеживать поведение посетителей сайтов в режиме реального времени.