Сейчас в это трудно поверить, но еще несколько лет назад некоторыми компаниями не использовалось никаких дополнительных проверок при переходе по ссылкам из писем.
Например, в письме от сайта "Из рук в руки" при переходе по ссылке "Отписка от рассылки", мы попадали на страницу - irr.ru/unsubcribe/?user_id , а дальше просто следовал номер пользователя.
Не трудно догадаться, что перебирая id пользователей, можно было отписать от email-рассылки всю базу пользователей.
Например, в письме от сайта "Из рук в руки" при переходе по ссылке "Отписка от рассылки", мы попадали на страницу - irr.ru/unsubcribe/?user_id , а дальше просто следовал номер пользователя.
Не трудно догадаться, что перебирая id пользователей, можно было отписать от email-рассылки всю базу пользователей.
Комментариев нет:
Отправить комментарий