Compliance inbox'ım iki ay boyunca attacker'a IP+UA leak ediyordu — 1099-NEC bildirim e-postasında HTML escape eksikliği

Albuquerque'de 37 yaşında Synaltix LLC compliance ops engineer Bea, Pazartesi sabah 1099-NEC threshold alert e-postası açtı. 11:42'de Recon-NG outbound monitoring alarmı: `cdn.fastservedelivery[.]com`'a HTTP GET, Bea'nın IP+UA'sı leak'lendi. Forensic: malicious affiliate `full_name = "<img src=//evil/track.png>"` ile signup yapmış, YTD $612'yi geçince cron alert e-postası gönderdi → Gmail HTML render → image-load → attacker'ın CDN'i Bea'nın corporate VPN IP'sini + Brave 1.66.115 UA'sını + open timestamp'ini log'ladı. Compliance inbox 7-30 yıl retention → "geri alamam" durumu. **PR #635 batch III F3** fix: `escapeHtml()` her interpolation'da. Subject line'lar plaintext kalıyor (RFC 5322/2047). Pattern: outbound HTML email = HER user-controlled `${var}` escape; compliance inbox customer browser'dan zayıf bir security boundary olmamalı.

İlgili makaleler