image

Let's Encrypt lekt e-mailadressen abonnees door systeemfout

maandag 13 juni 2016, 14:53 door Redactie, 10 reacties

De gratis ssl-dienst Let's Encrypt heeft door een fout in één van de geautomatiseerde e-mailsystemen de e-mailadressen van duizenden abonnees gelekt die zich voor de mailinglist hadden ingeschreven. Afgelopen zaterdag besloot Let's Encrypt alle abonnees een e-mail te sturen vanwege een update van de gebruikersovereenkomst. Dit werd gedaan via een geautomatiseerd systeem.

Het systeem bevatte echter een bug waardoor tussen de 0 en 7618 e-mailadressen aan de tekst van de e-mail werden toegevoegd. Daardoor konden ontvangers de e-mailadressen van andere abonnees zien. Het probleem werd ontdekt nadat 7.618 van de ongeveer 383.000 e-mails waren verstuurd. Elke e-mail bevatte per ongeluk de e-mailadressen van het e-mailadres ervoor. In de eerdere e-mails stonden dan ook minder e-mailadressen dan de latere berichten.

Josh Aas, directeur van de Internet Security Research Group (ISRG), betreurt de fout en zegt dat er een uitgebreid onderzoek zal worden gestart hoe de fout zich kon voordoen en hoe het in de toekomst voorkomen kan worden. Let's Encrypt is een initiatief van ISRG en werd mede opgericht door de EFF. Het wordt gesteund door Mozilla, Akamai, Cisco en verschillende andere partijen. Het initiatief heeft een volledig versleuteld web als doel. Door gratis ssl-certificaten uit te geven hoopt de dienst dat meer websites het verkeer van en naar bezoekers gaan versleutelen.

Reacties (10)
13-06-2016, 14:57 door Hans van Eijsden
Kan gebeuren, had natuurlijk niet mogen gebeuren. Maar waar gewerkt wordt, worden fouten gemaakt. Goed dat Let's Encrypt hier transparant over is en het probleem relatief vroegtijdig ontdekt werd.
13-06-2016, 15:40 door Anoniem
Het script om mails te versturen was zeker net zo idioot complex en onbeheersbaar als het script waarmee je
Let's Encrypt op je computer moet installeren?
13-06-2016, 16:55 door Anoniem
Door Anoniem: Het script om mails te versturen was zeker net zo idioot complex en onbeheersbaar als het script waarmee je
Let's Encrypt op je computer moet installeren?

Scherp opgemerkt ;)
Ergens is het eigenlijk ook wel knap dat blijkbaar de logica niet gebaseerd op is "stuur elk adres in dit array dit mailtje" met op dat adres nog een extra controle tegen meerdere adressen in één string... anders kan zo'n fout eigenlijk al niet voorkomen...
13-06-2016, 17:06 door Anoniem
Door Anoniem: Het script om mails te versturen was zeker net zo idioot complex en onbeheersbaar als het script waarmee je
Let's Encrypt op je computer moet installeren?
LOL! Dat zegt meer over jou dan over het script.
13-06-2016, 19:59 door Anoniem
Zouden Ze het ook netjes bij de Autoriteit Persoonsgegevens hebben gemeld als er NL bedrijven tussenzaten?
13-06-2016, 20:58 door Anoniem
Tja, ik had die mail dus ook. Gelukkig op een mailadres wat ik gemakkelijk kan vervangen.
14-06-2016, 08:20 door Anoniem
Door Hans van Eijsden: Kan gebeuren, had natuurlijk niet mogen gebeuren. Maar waar gewerkt wordt, worden fouten gemaakt. Goed dat Let's Encrypt hier transparant over is en het probleem relatief vroegtijdig ontdekt werd.
Vreemd, dan heb jij een ander script van Let's Encrypt. Bij mij gaat het waanzinnig eenvoudig.
14-06-2016, 10:12 door Anoniem
Door Anoniem:
Door Anoniem: Het script om mails te versturen was zeker net zo idioot complex en onbeheersbaar als het script waarmee je
Let's Encrypt op je computer moet installeren?
LOL! Dat zegt meer over jou dan over het script.

Ik denk dat je er nooit mee te maken gehad hebt.
Ik vind dat script wat je moet ophalen (dan denk ik ik heb alles) en wat dan vervolgens eigenmachtig allerlei
dingen gaat downloaden en pakketten gaat installeren zonder aankondiging EEN GEDROCHT.
Zolang ze hier niks aan verbeteren ga IK geen Let's Encrypt gebruiken!
14-06-2016, 13:14 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Het script om mails te versturen was zeker net zo idioot complex en onbeheersbaar als het script waarmee je
Let's Encrypt op je computer moet installeren?
LOL! Dat zegt meer over jou dan over het script.

Ik denk dat je er nooit mee te maken gehad hebt.
Ik vind dat script wat je moet ophalen (dan denk ik ik heb alles) en wat dan vervolgens eigenmachtig allerlei
dingen gaat downloaden en pakketten gaat installeren zonder aankondiging EEN GEDROCHT.
Zolang ze hier niks aan verbeteren ga IK geen Let's Encrypt gebruiken!

Dude het was vroeger een crime maar als je nu op hun get-started pagina kijkt dan word je gelinkt aan bijv cert-bot, eenvoudiger dan dat wordt het niet. Daarnaast zijn er genoeg alternatieven die gewoon alleen shell nodig hebben: https://github.com/Neilpang/acme.sh
14-06-2016, 14:32 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Het script om mails te versturen was zeker net zo idioot complex en onbeheersbaar als het script waarmee je
Let's Encrypt op je computer moet installeren?
LOL! Dat zegt meer over jou dan over het script.

Ik denk dat je er nooit mee te maken gehad hebt.
Ik vind dat script wat je moet ophalen (dan denk ik ik heb alles) en wat dan vervolgens eigenmachtig allerlei
dingen gaat downloaden en pakketten gaat installeren zonder aankondiging EEN GEDROCHT.
Zolang ze hier niks aan verbeteren ga IK geen Let's Encrypt gebruiken!

Dude het was vroeger een crime maar als je nu op hun get-started pagina kijkt dan word je gelinkt aan bijv cert-bot, eenvoudiger dan dat wordt het niet. Daarnaast zijn er genoeg alternatieven die gewoon alleen shell nodig hebben: https://github.com/Neilpang/acme.sh

Ik heb het er NIET over of het eenvoudig gaat (dwz dat iedere aap het kan uitvoeren).
Ik heb het er over dat als je de procedure die op zich heel eenvoudig is gaat doorlopen, er vanalles gedaan
wordt zonder dat dit eerst uiteengezet wordt. Zelfs als je het ding op proef even aanroept met de optie die
alleen maar de help zou moeten afdrukken dan gaat hij zichzelf nog een keer downloaden in een hidden
directory en gaat hij ongevraagd allerlei extra pakketten installeren op je systeem. Ik vind dat onacceptabel
gedrag. Tuurlijk, het is allemaal "heel eenvoudig" maar ik wil graag weten hoe mijn systeem vertimmerd
gaat worden en dat wordt niet inzichtelijk omdat je niet gewoon even een script kunt bekijken wat alles gaat
doen. Het lijkt wel een obfuscated code wedstrijd.

Ik heb het getest op een VM waar ik even een snapshot van gemaakt had en ik was blij dat ik dat gedaan
had. Gelijk snapshot terug gezet en deze drama zooi opzij geschoven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.