По адресу www.utro.ru/subscribe (убрали, спасибо - Roem.ru) выложена в открытый доступ база подписчиков сайта из десятков тысяч email адресов с 2002 года. Сайт входит в топ-20 посещаемых сайтов раздела "Новости и СМИ" по статистике LI.
Неоднократные попытки донести эту информацию до владельцев сайта не увенчались успехом: email сайта utro@utro.ru переполнен, технический директор Роман Корнеев игнорирует сообщения, а по телефону редакции +7 (499) 4264611 сказали что они такими вопросами не занимаются.
Если у вас есть выход на людей, занимающихся этим сайтом, пожалуйста, донесите до них эту информацию.
Комментарий Roem.ru: доносим как можем.
Вообще-то по данному тайному адресу (найти который можно за 5 секунд в Google, т.к. он не закрыт в robots.txt и все email’ы в поисковом индексе) похоже не список адресов, а отчеты о неправильных адресах email, на которые не удалось ничего доставить. На мысли об этом наводит большое число однотипных записей со стандартным значением поля «ваш email», а также всевозможные попытки эксплуатировать SQL Injection и другие типы уязвимостей. Не думаю, что логи ошибочных email-ов в паблике — это прямо уж так опасно и серьезно, и уж точно это никак не задевает актуальные частные данные пользователей, но это активная XSS — user input на данной странице не фильтруется, можно хоть сейчас подписаться на рассылку с адресом, содержащим нужный нам JavaScript (и некие умельцы уже провернули это несколько раз), и при переходе на данную страницу этот код выполнится. Разработчики, конечно, отморозили, дважды: сначала реализовав поле email без какой-либо валидации и чистки, а затем разместив эти логи в паблике. В общем, всякому начинающему безопаснику рекоммендую для общего развития найти и скачать этот файл, чтобы посмотреть, что обычно пытаются скормить любым формам любого более-мене популярного сайта, и как делать не надо.