安全研究人员发现许多应用通过将用户邮箱替换为 deleteduser.com 等占位符域名来处理账户删除,而非真正删除数据。这种做法导致个人身份信息通过错误投递的邮件暴露,并揭示出普遍违反隐私法规的现象。文章揭露了影响大量服务的数据处理漏洞。
背景
GDPR和CCPA法规要求服务在用户请求时删除数据,但许多系统最初并未设计真正的数据删除功能。它们通常通过覆盖字段来维持数据库完整性,同时技术上满足删除请求。
- 来源
- Lobsters
- 发布时间
- 2026年4月18日 09:19
- 评分
- 7.0 / 10