Mixpanel 一款SDK出现错误，将客户密码置于泄露边缘

Mixpanel成立于2009年，是一家位于美国的数据分析服务提供商。该公司在上周通过电子邮件通知其客户，由于软件开发工具包（SDK）中引入了一个错误，意外收集了客户在隐藏（Hidden）字段和密码（Password）字段中输入的数据。

Mixpanel的一位客户向其开发人员报告了这个问题。在经过调查后，Mixpanel确认作为其分析产品之一的Mixpanel Autotrack正在收集隐藏字段和密码字段中输入的数据。

Autotrack是Mixpanel公司在2016年8月份推出的一项新功能，旨在简化使用启动器的核心服务跟踪网站以观察用户行为的过程。

在没有Autotrack的情况下，要正确实现Mixpanel的分析功能需要安装一个JavaScript库，然后将这个特性添加到不同的网站页面中。Autotrack则使这个设置变得更为简单，只需点击网站组件并给它们命名，就可以对页面数据进行追踪，也可以通过这些组件进行更为复杂的分析。

“我们了解到，客户反应的问题来源于在2017年3月份我们对React JavaScript库进行了更改。”Mixpanel在发送给客户的电子邮件中写道。

该公司补充说：“这一更改将隐藏字段和密码字段的值复制到了输入数据的属性中，而这些字段属性原本就是由Autotrack收集的，这也就导致了客户在隐藏字段和密码字段输入的数据被Autotrack意外收集了。”

Mixpanel在确认这一事实之后，于近日设置了服务器端筛选器，用以阻止Autotrack继续对这些数据进行收集。然后，删除了Autotrack收集的所有敏感数据，并发布了SDK更新以解决这个问题。

此外，为了确定数据是否遭到了泄露，Mixpanel还对其自身服务器进行了安全审计。