Let's Encrypt lekt e-mailadressen abonnees door systeemfout
De gratis ssl-dienst Let's Encrypt heeft door een fout in één van de geautomatiseerde e-mailsystemen de e-mailadressen van duizenden abonnees gelekt die zich voor de mailinglist hadden ingeschreven. Afgelopen zaterdag besloot Let's Encrypt alle abonnees een e-mail te sturen vanwege een update van de gebruikersovereenkomst. Dit werd gedaan via een geautomatiseerd systeem.
Het systeem bevatte echter een bug waardoor tussen de 0 en 7618 e-mailadressen aan de tekst van de e-mail werden toegevoegd. Daardoor konden ontvangers de e-mailadressen van andere abonnees zien. Het probleem werd ontdekt nadat 7.618 van de ongeveer 383.000 e-mails waren verstuurd. Elke e-mail bevatte per ongeluk de e-mailadressen van het e-mailadres ervoor. In de eerdere e-mails stonden dan ook minder e-mailadressen dan de latere berichten.
Josh Aas, directeur van de Internet Security Research Group (ISRG), betreurt de fout en zegt dat er een uitgebreid onderzoek zal worden gestart hoe de fout zich kon voordoen en hoe het in de toekomst voorkomen kan worden. Let's Encrypt is een initiatief van ISRG en werd mede opgericht door de EFF. Het wordt gesteund door Mozilla, Akamai, Cisco en verschillende andere partijen. Het initiatief heeft een volledig versleuteld web als doel. Door gratis ssl-certificaten uit te geven hoopt de dienst dat meer websites het verkeer van en naar bezoekers gaan versleutelen.
Let's Encrypt op je computer moet installeren?
Let's Encrypt op je computer moet installeren?
Scherp opgemerkt ;)
Ergens is het eigenlijk ook wel knap dat blijkbaar de logica niet gebaseerd op is "stuur elk adres in dit array dit mailtje" met op dat adres nog een extra controle tegen meerdere adressen in één string... anders kan zo'n fout eigenlijk al niet voorkomen...
Let's Encrypt op je computer moet installeren?
Let's Encrypt op je computer moet installeren?
Ik denk dat je er nooit mee te maken gehad hebt.
Ik vind dat script wat je moet ophalen (dan denk ik ik heb alles) en wat dan vervolgens eigenmachtig allerlei
dingen gaat downloaden en pakketten gaat installeren zonder aankondiging EEN GEDROCHT.
Zolang ze hier niks aan verbeteren ga IK geen Let's Encrypt gebruiken!
Let's Encrypt op je computer moet installeren?
Ik denk dat je er nooit mee te maken gehad hebt.
Ik vind dat script wat je moet ophalen (dan denk ik ik heb alles) en wat dan vervolgens eigenmachtig allerlei
dingen gaat downloaden en pakketten gaat installeren zonder aankondiging EEN GEDROCHT.
Zolang ze hier niks aan verbeteren ga IK geen Let's Encrypt gebruiken!
Dude het was vroeger een crime maar als je nu op hun get-started pagina kijkt dan word je gelinkt aan bijv cert-bot, eenvoudiger dan dat wordt het niet. Daarnaast zijn er genoeg alternatieven die gewoon alleen shell nodig hebben: https://github.com/Neilpang/acme.sh
Let's Encrypt op je computer moet installeren?
Ik denk dat je er nooit mee te maken gehad hebt.
Ik vind dat script wat je moet ophalen (dan denk ik ik heb alles) en wat dan vervolgens eigenmachtig allerlei
dingen gaat downloaden en pakketten gaat installeren zonder aankondiging EEN GEDROCHT.
Zolang ze hier niks aan verbeteren ga IK geen Let's Encrypt gebruiken!
Dude het was vroeger een crime maar als je nu op hun get-started pagina kijkt dan word je gelinkt aan bijv cert-bot, eenvoudiger dan dat wordt het niet. Daarnaast zijn er genoeg alternatieven die gewoon alleen shell nodig hebben: https://github.com/Neilpang/acme.sh
Ik heb het er NIET over of het eenvoudig gaat (dwz dat iedere aap het kan uitvoeren).
Ik heb het er over dat als je de procedure die op zich heel eenvoudig is gaat doorlopen, er vanalles gedaan
wordt zonder dat dit eerst uiteengezet wordt. Zelfs als je het ding op proef even aanroept met de optie die
alleen maar de help zou moeten afdrukken dan gaat hij zichzelf nog een keer downloaden in een hidden
directory en gaat hij ongevraagd allerlei extra pakketten installeren op je systeem. Ik vind dat onacceptabel
gedrag. Tuurlijk, het is allemaal "heel eenvoudig" maar ik wil graag weten hoe mijn systeem vertimmerd
gaat worden en dat wordt niet inzichtelijk omdat je niet gewoon even een script kunt bekijken wat alles gaat
doen. Het lijkt wel een obfuscated code wedstrijd.
Ik heb het getest op een VM waar ik even een snapshot van gemaakt had en ik was blij dat ik dat gedaan
had. Gelijk snapshot terug gezet en deze drama zooi opzij geschoven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
