Η αρχή έκδοσης πιστοποιητικών Let’s Encrypt παραδέχτηκε κατά την διάρκεια του Σαββατοκύριακου ότι αποκάλυψε κατά λάθος χιλιάδες διευθύνσεις ηλεκτρονικού ταχυδρομείου των χρηστών της.
Ο κ. Josh Aas, εκτελεστικός διευθυντής της Internet Security Research Group (ISRG) ζήτησε συγγνώμη για την τυχαία διαρροή δεδομένων, αναφέροντας σε μια συμβουλευτική δημοσίευση ότι το πρόβλημα που εμφανίστηκε οφείλεται σε ένα σφάλμα στο subscriber email system του Let’s Encrypt.
Το bug “πρόσθεσε κατά λάθος 7618 άλλες διευθύνσεις ηλεκτρονικού ταχυδρομείου” σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που ήταν να αποσταλεί στους συνδρομητές για να τους ενημερώσει για μια νέα έκδοση του certificate authority (CA).
Το αποτέλεσμα φυσικά ήταν απογοητευτικό και απαράδεχτο για ένα οργανισμό έκδοσης πιστοποιητικών ασφαλείας. Και οι 7618 παραλήπτες ήταν σε θέση να δουν τις διευθύνσεις των άλλων που έλαβαν το e-mail σε μορφή απλού κείμενου.
Ωστόσο, η Let’s Encrypt σημειώνει ότι η διαρροή των δεδομένων θα μπορούσε να ήταν πολύ χειρότερη αν δεν είχε παρατηρήσει το πρόβλημα, και δεν είχε αντιδράσει τόσο γρήγορα.
Έτσι οι 7.618 διευθύνσεις ηλεκτρονικού ταχυδρομείου που αποκαλύφθηκαν, είναι μόνο το 1,9 τοις εκατό των χρηστών που είναι εγγεγραμμένοι στη λίστα των subscribers. Το σύστημα σταμάτησε την αποστολή e-mail πριν διαρρεύσουν και οι 383.0000 διευθύνσεις των subscribers.
Ο κ. Josh Aas ανέφερε επίσης ότι ορισμένοι χρήστες θα έχουν τη δυνατότητα να δουν περισσότερες διευθύνσεις ηλεκτρονικού ταχυδρομείου από άλλους, γιατί κάθε email περιείχε τις διευθύνσεις ηλεκτρονικού ταχυδρομείου που είχαν αποσταλεί νωρίτερα από αυτό.
