To Let’s Encrypt πρότζεκτ ανακοίνωσε προχθές ότι ένα πρόβλημα στο email newsletter σύστημα που χρησιμοποιούσαν κατά λάθος εξέθεσε τις διευθύνσεις ηλεκτρονικού ταχυδρομείου 7.618 χρηστών.
To Let’s Encrypt είναι ένα έργο που ξεκίνησε από το Mozilla Foundation και το Electronic Frontier Foundation με στόχο την παροχή δωρεάν SSL πιστοποιητικών, έτσι ώστε οι ιδιοκτήτες site που δεν διαθέτουν μεγάλους προϋπολογισμούς να αντέξουν οικονομικά το να τρέχουν τα sites τους μέσω HTTPS.
Το πρότζεκτ είναι εξαιρετικά δημοφιλές και στα μέσα Απριλίου παινευόταν ότι έχει εκδώσει πάνω από 1,7 εκατομμύρια πιστοποιητικά και έχει προστατεύσει 3,8 εκατομμύρια domains.
Κάποιοι από τους Let’s Encrypt χρήστες υπέγραψαν, επίσης, για το ενημερωτικό δελτίο του πρότζεκτ, μαζί με τους μη χρήστες, για να λαμβάνουν διάφορες ενημερώσεις και νέα του έργου. Συνολικά, το έργο λέει ότι έχει πάνω από 383.000 χρήστες εγγεγραμμένους στο newsletter του.
Στις 11 Ιουνίου 2016, το Let’s Encrypt έργο ξεκίνησε να αποστέλλει μηνύματα ηλεκτρονικού ταχυδρομείου σε όλους τους συνδρομητές newsletter σχετικά με την ενημέρωση της συνδρομής τους.
Όπως και στις περισσότερες εταιρείες, για το έργο αυτό μισθώθηκε μια τρίτη υπηρεσία για να χειριστεί αυτό το κομμάτι. Σύμφωνα με τον Josh Aas, τον ISRG Executive Director του Let’s Encrypt, υπήρχε ένα bug σε αυτό το σύστημα, το οποίο ξεκίνησε να προσθέτει από την αρχή τα e-mail όλων των χρηστών που βρίσκονταν στη λίστα του ενημερωτικού δελτίου.
Για παράδειγμα, το δέκατο πρόσωπο στη λίστα θα μπορούσε να δει τις διευθύνσεις ηλεκτρονικού ταχυδρομείου των πρώτων εννέα, το ενδέκατο μπορούσε να δει τις διευθύνσεις ηλεκτρονικού ταχυδρομείου για την πρώτη δεκάδα και ούτω καθεξής.
Οι χρήστες που έλαβαν αυτά τα ηλεκτρονικά μηνύματα εντόπισαν γρήγορα τα προβλήματα και ανέφεραν τα ζητήματα (1, 2, 3) στους ιδιοκτήτες του πρότζεκτ, οι οποίοι στη συνέχεια παρενέβησαν και σταμάτησαν τη newsletter λίστα, αλλά όχι πριν σταλούν 7.618 ακατάλληλα ενημερωτικά δελτία, τα οποία αφορούν το 1,9% ολόκληρης της βάσης συνδρομητών.
“Εάν λάβατε ένα από αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου σας ζητούμε να μην δημοσιεύσετε τις λίστες διευθύνσεων ηλεκτρονικού ταχυδρομείου”, παρακάλεσε ο Aas τους παραλήπτες ηλεκτρονικού ταχυδρομείου. Τέλος, ο Aas υποσχέθηκε μια μελλοντική έκθεση του συμβάντος για να εξηγήσει τι ακριβώς συνέβη.
