De gratis ssl-dienst Let's Encrypt heeft door een fout in één van de geautomatiseerde e-mailsystemen de e-mailadressen van duizenden abonnees gelekt die zich voor de mailinglist hadden ingeschreven. Afgelopen zaterdag besloot Let's Encrypt alle abonnees een e-mail te sturen vanwege een update van de gebruikersovereenkomst. Dit werd gedaan via een geautomatiseerd systeem.
Het systeem bevatte echter een bug waardoor tussen de 0 en 7618 e-mailadressen aan de tekst van de e-mail werden toegevoegd. Daardoor konden ontvangers de e-mailadressen van andere abonnees zien. Het probleem werd ontdekt nadat 7.618 van de ongeveer 383.000 e-mails waren verstuurd. Elke e-mail bevatte per ongeluk de e-mailadressen van het e-mailadres ervoor. In de eerdere e-mails stonden dan ook minder e-mailadressen dan de latere berichten.
Josh Aas, directeur van de Internet Security Research Group (ISRG), betreurt de fout en zegt dat er een uitgebreid onderzoek zal worden gestart hoe de fout zich kon voordoen en hoe het in de toekomst voorkomen kan worden. Let's Encrypt is een initiatief van ISRG en werd mede opgericht door de EFF. Het wordt gesteund door Mozilla, Akamai, Cisco en verschillende andere partijen. Het initiatief heeft een volledig versleuteld web als doel. Door gratis ssl-certificaten uit te geven hoopt de dienst dat meer websites het verkeer van en naar bezoekers gaan versleutelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.