К телу электронных писем был прикреплен список адресов электронной почты, принадлежащих другим подписчикам Let’s Encrypt.
Бесплатный центр сертификации Let’s Encrypt случайно раскрыл электронные адреса 7 618 своих пользователей. Причиной инцидента стала ошибка в автоматизированной системе, использующейся для новостной рассылки проекта.
Как пояснил представитель Исследовательской группы интернет-безопасности (автор проекта Let’s Encrypt) Джош Аас (Josh Aas), в результате ошибки к телу электронного письма был прикреплен список адресов электронной почты, принадлежащих другим подписчикам Let’s Encrypt. Таким образом почтовые ящики части пользователей сервиса стали известны другим адресатам.
В общей сложности на почтовую рассылку подписано 383 тыс. пользователей. Проблема была замечена после того, как система успела разослать 7618 писем из 383 тыс. То есть, скомпрометированными оказались примерно 1,9% из общего числа адресов. Наиболее полную подборку могли видеть те пользователи, чьи адреса оказались в конце списка.
Администрация проекта принесла свои извинения за инцидент и попросила пользователей не публиковать данные в открытом доступе.
Напомним , организованный Linux Foundation и Исследовательской группой интернет-безопасности (Internet Security Research Group, ISRG) проект Let’s Encrypt является бесплатным центром сертификации, который подразумевает выпуск сертификатов безопасности с проверкой доменных имен для web-сайтов.
Гравитация научных фактов сильнее, чем вы думаете