Ошибка в конфигурации рассылки привела к утечке электронных адресов более 7 тыс. пользователей Let’s Encrypt

Ошибка в конфигурации рассылки привела к утечке электронных адресов более 7 тыс. пользователей Let’s Encrypt

К телу электронных писем был прикреплен список адресов электронной почты, принадлежащих другим подписчикам Let’s Encrypt.

image

Бесплатный центр сертификации Let’s Encrypt случайно раскрыл электронные адреса 7 618 своих пользователей. Причиной инцидента стала ошибка в автоматизированной системе, использующейся для новостной рассылки проекта.

Как пояснил представитель Исследовательской группы интернет-безопасности (автор проекта Let’s Encrypt) Джош Аас (Josh Aas), в результате ошибки к телу электронного письма был прикреплен список адресов электронной почты, принадлежащих другим подписчикам Let’s Encrypt. Таким образом почтовые ящики части пользователей сервиса стали известны другим адресатам.

В общей сложности на почтовую рассылку подписано 383 тыс. пользователей. Проблема была замечена после того, как система успела разослать 7618 писем из 383 тыс. То есть, скомпрометированными оказались примерно 1,9% из общего числа адресов. Наиболее полную подборку могли видеть те пользователи, чьи адреса оказались в конце списка.

Администрация проекта принесла свои извинения за инцидент и попросила пользователей не публиковать данные в открытом доступе.

Напомним , организованный Linux Foundation и Исследовательской группой интернет-безопасности (Internet Security Research Group, ISRG) проект Let’s Encrypt является бесплатным центром сертификации, который подразумевает выпуск сертификатов безопасности с проверкой доменных имен для web-сайтов. 

 


История Ричарда Столмана - от любви до ненависти. Раскрыты подробности уплаты выкупа вымогателям а киберграбители взялись за цифровое искусство. Смотрите 12 выпуск security-новостей на нашем Youtube канале.