A cookie-k (sütik) széles körben alábecsült biztonsági kockázatot jelenteken egy biztonságos HTTPS kapcsolatban. Minden böngésző hajlamos olyan adatokat kiadni, amik használhatóak privát adatok megszerzésére.

Egy nemzetközi csapat szerint az összes használt böngésző tartalmaz olyan sérülékenységet, mely segítségével ha egy támadó manipulál egy cookie-t, olyan bizalmas adatokhoz férhet hozzá ami TLS csatornán keresztül van titkosítva.

A Full Disclosure levelező listára egy anonymous bejelentés érkezett, amely szerint a Santander bank egyszerű szövegként tárolja a felhasználók jelszavát egy cookie-ban egészen addig, amíg az ügyfél be van jelentkezve az online bank weboldalán. A beküldő szerint ezen kívül még a hitelkártya számot és egyéb információkat is elment a session cookie-ba a weboldal. Az egyik cookie, amelyre "NewUniversalCookie"-ként történik hivatkozás, magára vonta a figyelmet, mert mindig jelen van, amíg a Santander weboldalát használja az ügyfél. Ez egy base64 kódolású XML dokumentum, amely tartalmazza a nevet, egy alias-t és egy ID-t. Valójában a cookie több mezőt is tartalmaz, az XML csak az egyik ezekből.

Az Egyesült Királyság leglátogatottabb weboldalain átlagosan 14 tracking cookie (nyomkövető süti) követi a felhasználókat oldalletöltésenként. Ezek 68 százaléka nem az oldal üzemeltetőitől, hanem harmadik féltől származik.

Ahogy a Facebook napról napra növekszik, úgy nő a közösségi hálózat által begyűjtött személyes adatok mennyisége, beleértve a nem Facebook tagokról szóló információkat is. A Facebook először magyarázta el, hogy miként gyűjt információkat a bejelentkezett és a nem bejelentkezett felhasználókról egyaránt. Amikor egy Facebook felhasználó meglátogatja a Facebook.com oldalt, két követő cookie kerül elhelyezésre a böngészőjében: egy úgynevezett munkamenet cookie és egy böngésző cookie. A nem bejelentkezett vagy nem Facebook tag felhasználók ezekből csak a böngésző cookiet "kapják meg".

Világszerte nagy felháborodást keltett az a felfedezés, mely szerint a Facebook azután is követi a felhasználók webes tevékenységét, miután azok kijelentkeztek a közösségi oldalról. Még májusban került nyilvánosságra, hogy a böngésző sütik és a mára szinte minden oldalon elhelyezett "Like" és "Share" gombok segítségével, a Facebook képes megfigyelni, hogy a felhasználók merre szörfölnek az interneten, még azután is, hogy elhagyták az oldalt. A cég akkor azt nyilatkozta, a sütik egy biztonsági megoldás részei, amely az illetéktelen bejelentkezésektől igyekszik megóvni a felhasználókat és ők egyáltalán nem érdekeltek az internetezők nyomon követésében.

Biztonsági kutatók több sérülékenységre bukkantak a LinkedIn SSL-n keresztül történő cookie kezelésében. A sérülékenységeket kihasználva egy támadó feltörheti a felhasználó fiókját vagy módosíthatja annak tartalmát a felhasználó beleegyezése nélkül.

Egy új cross-site scripting sérülékenységet azonosítottak, amely esetben egy javascript kód az előbb említett sérülékenységet kihasználva ellopja a felhasználó Twitter sütijét, amelyet két távoli szerverre továbbít. A bit.ly statisztikája szerint, több mint 100.000 felhasználó eshetett áldozatul. A nyomok brazilíába vezetnek.
http://www.securelist.com/en/blog/2276/Twitter_XSS_in_the_wild

A Walt Disney internetes leányvállalatát és számos partnerét beperelték a felhasználók személyes információinak gyanítható nyomonkövetése végett. A felhasználók -- akik közt nagy számban voltak kiskorúak -- megfigyelése Adobe Flash Player sütikkel történt

http://www.theregister.co.uk/2010/08/17/flash_cookie_lawsuit/