Решил я тут как-то почекать WorpdPress.com, на котором и крутится собственно мой бложек, и каково было моё удивление на 5-ой минуте, когда я увидел в респонсах BurpSuite какие-то левые емейлы.

Сам реквест идёт к хосту public-api.wordpress.com и выглядит следующим образом:

https://public-api.wordpress.com/rest/v1.1/notifications/?http_envelope=1&fields=id,type,unread,body,subject,timestamp,meta,note_hash&number=10&locale=ru

Суть уязвимости такова, что когда пользователь wordrpress.com подписывается на ваш блог, то вы видите его в списке подписчиков, и реквестом выше подтягивается информация о пользователе. Емейл пользователя передаётся в филде meta, также видны идентификаторы пользователя, блога, домены, и т.д (возможно можно дёрнуть ещё что-либо перебирая различные филды).

Подумал сначала зарепортить уязвимость через BugBounty, потом увидел вот это на HackerOne и передумал, да и денег они особо никому не платят судя по статистике HackerOne:

Интересно конечно получается, WordPress.com считает пользовательские емейлы с привязкой к различным ID и доменам — публичной информацией! Ну классно что сказать, по ребяткам явно плачет свежеиспечённый  GDPR =)

В итоге, что у нас получается — подписался на чей-то блог == слил свой емейл со всеми вытекающими последствиями. Будьте бдительны!