Volgens zelfstandige beveiligingsanalist Richard Smith speelt VeriSigns Sitefinder informatie door aan marketingbureau Omniture, zo meldt de Sydney Morning Herald. SiteFinder is de omstreden website waar sinds kort alle niet bestaande .com- en .net- requests naartoe worden geleid. Volgens Smiths mail aan de Full-Disclosure mailinglist wordt informatie uit webforms bij een ongewild bezoek aan SiteFinder doorgestuurd naar het marketingbureau. Dit zou gebeuren als data verzonden zou worden ván een webform op een bepaalde webpagina, náár een niet (meer) bestaande website. Omdat de aanvraag voor de niet bestaande website wordt omgeleid naar SiteFinder, worden de in het form ingevulde gegevens in bepaalde gevallen ook doorgestuurd naar SiteFinder, waarna deze via een JavaScript automatisch bij Omniture zou belanden. Als de claims van Smith daadwerkelijk waar zijn, lijkt het waarschijnlijk dat de storm van kritiek op VeriSign zal veranderen in een tornado. Het bedrijf zelf werd op 24 september om commentaar gevraagd, maar heeft tot nu toe niet gereageerd:
"SiteFinder passes the form data along to Omniture in the URL of a web bug which is constructed on the fly by about 50 lines of JavaScript embedded in the SiteFinder home page." He said the data spill raised legal questions because of possible violations of the VeriSign privacy policy and of the Electronic Communications Privacy Act (ECPA). Smith provided code for an example form to illustrate the problem.