Независимый эксперт выяснил, что при посещении различных разделов ресурса https://retail.santander.co.uk (где и без того есть ряд уязвимостей, в том числе XSS) в файлах сессии могут храниться такие данные, как полное имя пользователя, номер кредитной карты, номер банковского счёта, а также UserID пользователя.
По словам исследователя, при посещении раздела «Кредитные карты» на web-сайте Santander в браузер пользователя устанавливается cookie с полным номером карты.
В своем отчете на Full Disclosure эксперт также предоставил ссылку на политику конфиденциальности Santander, где указано, что «cookie не содержат личной информации, и не могут быть использованы для идентификации пользователя».
