1. 程式人生 > >Let’s Encrypt洩露7618名使用者郵箱地址 – 運維派

Let’s Encrypt洩露7618名使用者郵箱地址 – 運維派

Let's Encrypt洩露7618名使用者郵箱地址

Let’s Encrypt翻譯成中文叫“讓我們來加密”,實際上這是個為廣大網站免費頒發SSL/TLS證書的專案。Let’s Encrypt的來頭不小,目前它是由Linux基金會託管的,發起該專案的組織包括Mozilla、思科、EFF等。這個專案對於Web世界由HTTP過渡到HTTPS是異常重要的。

然而最近,Let’s Encrypt自身卻洩露了7000多名使用者的電子郵件地址,這豈不是跟網際網路安全的宗旨背道而馳嗎?

Let’s Encrypt簡介

Let’s Encrypt專案自問世以來就很受歡迎。據說到今年4月中旬,他們就已經發放了超過170萬份證書。這也很好理解,畢竟Let’s Encrypt是免費發放證書的,這是利國利民的事業。

許多網站管理人員在享受這項服務的同時,還順便訂閱了Let’s Encrypt的簡報——就類似於平常你在一家網站註冊,或者購買某款產品之後,還訂閱了這家網站的各種動態資訊,網站會定期給你發郵件。目前Let’s Encrypt已經擁有38.3萬訂閱使用者。

就在前兩天,Let’s Encrypt給所有簡報訂閱使用者發郵件,結果就出問題了。這封郵件並非什麼機密資訊,是相關訂閱使用者協議更新的。

第三方服務的側漏

Let’s Encrypt並沒有選擇自己給使用者發郵件,而是找第三方服務代發。在這封簡報郵件發出後,7618名使用者的郵件地址遭遇洩露。Let’s Encrypt ISRG執行董事Josh Aas表示,這是系統中的BUG導致的。

這套第三方系統會將訂閱使用者的電子郵件地址新增到傳送佇列中。BUG就在於,訂閱佇列中的第10個人,是可以看到訂閱佇列前9個人的電子郵件地址的。

以此類推,大量使用者的郵箱地址也就因此洩露了。收到這封郵件的部分使用者,很快就將該問題反映給了Let’s Encrypt負責人。即便負責人很快採取措施,卻已經有7618位使用者收到了郵件,這些使用者佔到訂閱使用者總數的1.9%,悲劇也就這麼發生了。

Aas表示:

“如果您收到了這封郵件,我們請求您不要公開這份郵箱地址列表。”

Aas還說,未來一定會就此事件再做一份反饋報告。

參考來源:SP,FB小編dawner編譯

原文出處:FreeBuf黑客與極客(FreeBuf.COM)