хотя свой прошлый говнокод говнокод: https://visa.qiwi.com/ они пофиксили (кстати, месяц или два назад), но чтобы юзерам жизнь медом не казалась, решили добавить новый
итак, заходим на visa.qiwi.com и смотрим, че нам показывает adblock... а он показывает, в числе прочего такие вот скрипты:
https://stats.g.doubleclick.net/dc.js
особенно последний — это 39528 байт пожатого кода; беглый взгляд выделяет подстроку:
... c=new ActiveXObject(d+".6"),e="WIN 6,0,21,0",c.AllowScriptAccess="always" ...
особенную пикантность этому коду придает то, что, как я уже писал, отправка формы авторизации киви делается через ява-скрипт
т.е. любой кодер из doubleclick.net совершенно не напрягаясь может сливать логины-пароли юзеров платежной системы visa.qiwi.com либо напрямую, либо, если ему это кажется недостаточно утонченным, делать это замаскированно, наколбасив кода в dc.js со «случайной» уязвимостью, и юзая уже ее
то же, собственно, относится к гуглю