永济 | 民生 | 体育 | 亲子 | 国内 | 国际 | 专题 | 评论 | 房市 | 车市 | 财经 | 旅游 | 美食 | 教育 | 文史 | 娱乐 | 

首页 | 永济 | 国内 | 国际 | 社会 | 财经 | 娱乐 | 体育 | 看图不说话 | 微言大义 | 滚动
永济网 > 亲子 > 正文

第三方服务侧漏:Let’s Encrypt泄露7618名用户邮箱地址

2019/8/12 20:20:24 来源:新京报 大字体 小字体 扫码带走
打印

 

\

 

Let’s Encrypt翻译成中文叫“让我们来加密”,实际上这是个为广大网站免费颁发SSL/TLS证书的项目。Let’s Encrypt的来头不小,目前它是由Linux基金会托管的,发起该项目的组织包括Mozilla、思科、EFF等。这个项目对于Web世界由HTTP过渡到HTTPS是异常重要的。

然而最近,Let’s Encrypt自身却泄露了7000多名用户的电子邮件地址,这岂不是跟互联网安全的宗旨背道而驰吗?

Let’s Encrypt简介

Let’s Encrypt项目自问世以来就很受欢迎。据说到今年4月中旬,他们就已经发放了超过170万份证书。这也很好理解,毕竟Let’s Encrypt是免费发放证书的,这是利国利民的事业。

许多网站管理人员在享受这项服务的同时,还顺便订阅了Let’s Encrypt的简报——就类似于平常你在一家网站注册,或者购买某款产品之后,还订阅了这家网站的各种动态信息,网站会定期给你发邮件。目前Let’s Encrypt已经拥有38.3万订阅用户。

就在前两天,Let’s Encrypt给所有简报订阅用户发邮件,结果就出问题了。这封邮件并非什么机密信息,是相关订阅用户协议更新的。

第三方服务的侧漏

Let’s Encrypt并没有选择自己给用户发邮件,而是找第三方服务代发。在这封简报邮件发出后,7618名用户的邮件地址遭遇泄露。Let’s Encrypt ISRG执行董事Josh Aas表示,这是系统中的BUG导致的。

这套第三方系统会将订阅用户的电子邮件地址添加到发送队列中。BUG就在于,订阅队列中的第10个人,是可以看到订阅队列前9个人的电子邮件地址的。以此类推,大量用户的邮箱地址也就因此泄露了。收到这封邮件的部分用户,很快就将该问题反映给了Let’s Encrypt负责人。即便负责人很快采取措施,却已经有7618位用户收到了邮件,这些用户占到订阅用户总数的1.9%,悲剧也就这么发生了。

Aas表示:

“如果您收到了这封邮件,我们请求您不要公开这份邮箱地址列表。”

Aas还说,未来一定会就此事件再做一份反馈报告。


相关阅读:
百科全书 http://www.dangdang.com/sales/brands/35440.html

关于我们 |  联系方式 |  广告服务 |  业务范围 |  本网招聘 |  站点地图 |  版权声明 |  员工查询
新闻许可:国新网3712006003号   电信许可:鲁B2-20090035   ICP:鲁ICP备09023214号  

Copyright 1997-2014 All Rights Reserved.