转载

第三方服务侧漏:Let’s Encrypt泄露7618名用户邮箱地址

第三方服务侧漏:Let’s Encrypt泄露7618名用户邮箱地址

Let’s Encrypt翻译成中文叫“让我们来加密”,实际上这是个为广大网站免费颁发SSL/TLS证书的项目。Let’s Encrypt的来头不小,目前它是由Linux基金会托管的,发起该项目的组织包括Mozilla、思科、EFF等。这个项目对于Web世界由HTTP过渡到HTTPS是异常重要的。

然而最近,Let’s Encrypt自身却泄露了7000多名用户的电子邮件地址,这岂不是跟互联网安全的宗旨背道而驰吗?

Let’s Encrypt简介

Let’s Encrypt项目自问世以来就很受欢迎。据说到今年4月中旬,他们就已经发放了超过170万份证书。这也很好理解,毕竟Let’s Encrypt是免费发放证书的,这是利国利民的事业。

许多网站管理人员在享受这项服务的同时,还顺便订阅了Let’s Encrypt的简报——就类似于平常你在一家网站注册,或者购买某款产品之后,还订阅了这家网站的各种动态信息,网站会定期给你发邮件。目前Let’s Encrypt已经拥有38.3万订阅用户。

就在前两天,Let’s Encrypt给所有简报订阅用户发邮件,结果就出问题了。这封邮件并非什么机密信息,是相关订阅用户协议更新的。

第三方服务的侧漏

Let’s Encrypt并没有选择自己给用户发邮件,而是找第三方服务代发。在这封简报邮件发出后,7618名用户的邮件地址遭遇泄露。Let’s Encrypt ISRG执行董事Josh Aas表示,这是系统中的BUG导致的。

这套第三方系统会将订阅用户的电子邮件地址添加到发送队列中。BUG就在于,订阅队列中的第10个人,是可以看到订阅队列前9个人的 电子邮件 地址的。以此类推,大量用户的邮箱地址也就因此泄露了。收到这封邮件的部分用户,很快就将该问题反映给了Let’s Encrypt负责人。即便负责人很快采取措施,却已经有7618位用户收到了邮件,这些用户占到订阅用户总数的1.9%,悲剧也就这么发生了。

Aas表示:

“如果您收到了这封邮件,我们请求您不要公开这份邮箱地址列表。”

Aas还说,未来一定会就此事件再做一份反馈报告。

  *参考来源: SP ,FB小编dawner编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文  http://www.freebuf.com/news/106614.html
正文到此结束
Loading...