Mixpanel成立于2009年,是一家位于美国的数据分析服务提供商。该公司在上周通过电子邮件通知其客户,由于软件开发工具包(SDK)中引入了一个错误,意外收集了客户在隐藏(Hidden)字段和密码(Password)字段中输入的数据。
Mixpanel的一位客户向其开发人员报告了这个问题。在经过调查后,Mixpanel确认作为其分析产品之一的Mixpanel Autotrack正在收集隐藏字段和密码字段中输入的数据。
Autotrack是Mixpanel公司在2016年8月份推出的一项新功能,旨在简化使用启动器的核心服务跟踪网站以观察用户行为的过程。
在没有Autotrack的情况下,要正确实现Mixpanel的分析功能需要安装一个JavaScript库,然后将这个特性添加到不同的网站页面中。Autotrack则使这个设置变得更为简单,只需点击网站组件并给它们命名,就可以对页面数据进行追踪,也可以通过这些组件进行更为复杂的分析。
“我们了解到,客户反应的问题来源于在2017年3月份我们对React JavaScript库进行了更改。”Mixpanel在发送给客户的电子邮件中写道。
该公司补充说:“这一更改将隐藏字段和密码字段的值复制到了输入数据的属性中,而这些字段属性原本就是由Autotrack收集的,这也就导致了客户在隐藏字段和密码字段输入的数据被Autotrack意外收集了。”
Mixpanel在确认这一事实之后,于近日设置了服务器端筛选器,用以阻止Autotrack继续对这些数据进行收集。然后,删除了Autotrack收集的所有敏感数据,并发布了SDK更新以解决这个问题。
此外,为了确定数据是否遭到了泄露,Mixpanel还对其自身服务器进行了安全审计。