В процессе рассылки от Let’s Encrypt был обнаружен прикрепленный список адресов электронной почты, принадлежащих другим подписчикам…
Проект Let’s Encrypt является бесплатным центром сертификации, который подразумевает выпуск сертификатов безопасности с проверкой доменных имен для web-сайтов. Но даже с проектами, основной целью которых является безопасность, случаются неприятные инциденты. Ошибка в автоматизированной системе, которая применялась для новостной рассылки проекта, позволила раскрыть электронные адреса 7 618 своих пользователей.
Представитель Исследовательской группы интернет-безопасности (автор проекта Let’s Encrypt) Джош Аас (Josh Aas) заявил, что из-за ошибки к телу электронного письма оказался прикрепленным список адресов электронной почты других подписчиков Let’s Encrypt. Казус в системе был замечен после того, как было отправлено 7 618 писем из базы, насчитывающей в общей сложности 383 000 подписчиков Let’s Encrypt.
Администрация проекта принесла свои извинения за инцидент и попросила пользователей не публиковать данные в открытом доступе.
Источник http://www.securitylab.ru/
