Эпик фейл с рассылками у Evernote

Заметил вот этот пост ^[1] и тоже вспомнил один эпик фейл в рассылках, на этот раз от компании Evernote. В каждой рассылке есть ссылка «Отказаться от данной рассылки».

Прекрасная функция, не поспоришь. Вот только выглядит эта ссылка вот так:
lists.evernote.com/link.php?M=93041770&N=1408&L=7&F=H ^[2]
И что удивительно и ужасно — поле «М» — это идентификатор пользователя и кликнув на эту ссылку мы получим страничку вида «Вы правда хотите отписаться?», на которой будет указана реальная почта данного юзера. Никаких там ключей, хешсум или чего-то еще в ссылке нету. В результате меняя циферку в поле «М» мы можем легко проитерироваться от нуля до «сколько-влезет» и получить базу почтовых адресов пользователей Evernote. Вот такая конфиденциальность.

Автор: tangro