Mixpanel 代币暴露的后果是什么？

Question

正如我在Android Mixpanel SDK setup documentation 中所读到的，在应用启动时使用了一个令牌来初始化 MixPanel SDK。当我在 Mixpanel 文档中读到 token 时，它说：

您的令牌是公开的，并且是将数据发送到 Mixpanel 所需的唯一项目特定对象。由于 Mixpanel 用户可以拥有多个项目，并且每个项目都有自己的项目令牌，因此无论何时您要将数据发送到特定项目，您都需要指定项目令牌，以便我们知道将数据发送到哪里。

可以使用免费提供的工具轻松反编译 Android apk。如果有人没有使用 ProGuard 或其他一些混淆库，如果令牌暴露给攻击者会有什么后果？由于链接提到它唯一需要向 Mixpanel 发送数据，攻击者可以发送他们自己的数据并破坏我们在 Mixpanel 上的数据吗？

Answer 1

这是正确的——如果攻击者反编译您的 apk 并提取您的令牌，他们确实可以代表您恶意将流量发送到 mixpanel。

几乎所有的网络分析公司（包括谷歌）都是这种情况。

然而，要知道的主要事情是，人们这样做很少有用。污染他人的网络分析虽然可能，但并不是一件有利可图的事情。您还可以创建服务器端过滤器来帮助防止这种情况发生。

您可以在此处阅读有关它的更多信息（特别是与 Google Analytics 相关的）：https://blog.kissmetrics.com/protect-analytics-from-hacking/（这些原则也适用于 Mixpanel）。

希望有帮助！