Encryptで誤ってユーザーの電子メールデータが漏洩しよう

認証局Let’s Encryptは、誤って何千ものユーザー電子メールを開示することを認めています。

ransomware攻撃のコスト:今年は10億ドル、ChromeはHTTP接続を安全ではないとラベル付け開始、Hyperledgerプロジェクトはギャングバスターのように成長している;今、あなたはその道で何かを破壊するUSB​​スティックを買うことができる

インターネットセキュリティリサーチグループ(ISRG)のエグゼクティブディレクターであるJosh Aas氏は、偶発的なデータ漏洩を謝罪し、問題は「Let’s Encrypt」加入者電子メールシステムのバグが原因で発生したと告発した。

このバグは、認証局(CA)のサブスクライバ契約の更新を通知するために、電子メールに「0から7,618の間の他の電子メールアドレスが間違って追加されました。

その結果、7,618人の受信者が電子メールの本文に電子メールを受け取った他の人の電子メールアドレスを平文で見ることができました。

しかし、Let’s Encryptは、問題が気づかれずにすみやかに停止した場合、データ漏洩がはるかに悪化している可能性があることに注意します。

7,618件の電子メールアドレスが開示されていますが、これは契約更新電子メールが受信箱に届くのを見てユーザーの1.9%に相当します。システムは停止され、383,0000人のすべての受信者の電子メールがお互いに漏洩する前に調査されました。

Aas氏はまた、一部のユーザーは他のユーザーより多くの電子メールアドレスを見ることができたと述べた。各電子メールには前に送信された電子メールの電子メールアドレスが含まれていたため、以前の電子メールには後の電子メールよりも少ないアドレスが含まれていました。

私たちは、ユーザーとの関係を真剣に考え、エラーをお詫びします」と、Aasは書いています。これがどのように起こったのか、またこのような事態が再び起こるのを防ぐための徹底的な徹底的な調査を行います。この事件報告を我々の結論に更新する。

Let’s Encryptは、無料のTransport Layer Security(TLS)証明書をウェブマスターに導入することで、インターネット上のセキュリティを強化したいと考えています。 3月には、TLS証明書が100万件発行され、4月にはCAがベータ段階を去り、世界中の300万のWebサイトで150万件以上の証明書を発行し、通信チャネルを暗号化した。

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン