Oups… Let's Encrypt expose des adresses mail

Le par  |  18 commentaire(s)
boite-spam

Boulette de l'autorité de certification gratuite Let's Encrypt qui a permis à des milliers d'utilisateurs de connaître les adresses mail de chacun.

Let's-EncryptC'est un peu comme si Let's Encrypt s'était emmêlé les pinceaux avec le champ " copie cachée " lors de l'envoi d'un message. L'autorité de certification gratuite a présenté ses excuses pour un souci qui a pu exposer les adresses mail de plusieurs milliers de ses utilisateurs.

Le 11 juin dernier, Let's Encrypt a commencé à envoyer un email à destination de ses abonnés actifs afin de les prévenir d'un changement. Une procédure automatisée qui a été affectée par un bug. Par erreur, " le système a préfixé entre 0 et 7 618 autres adresses mail au corps de l'email. Le résultat a été que les destinataires pouvaient voir les adresses mail des autres destinataires. "

Let's Encrypt souligne que le système a été arrêté avant que l'email ne soit envoyé à l'ensemble des 383 000 utilisateurs prévu, et donc un impact pour 1,9 % des utilisateurs. Par ailleurs, " chaque email contenait par erreur les adresses mail des emails envoyés précédemment ; les emails précédents contenaient donc moins d'adresses que les derniers. "

Avec de la transparence et donc des excuses, Let's Encrypt demande à ses utilisateurs concernés de ne pas rendre publiques les listes d'adresses mail qu'ils ont reçues. Oui… cela serait en effet sympa pour éviter de l'éventuel spam.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1903505

Et ça c'est qui fournit des certif SSL
Le #1903506
ça en dit long sur la sécu
Le #1903508
Autant de données e-mails qui finiront par tomber entre des mains peu scrupuleuses, et qui profiteront de l'aubaine pour revendre ces fichiers ....
Le business des données vous connaissez ?
Le #1903518
J'ose pas imaginer la gueule d'un champ CC avec 7618 adresses mail dedans
Le #1903522
Oui m'enfin ceux qui demandent des certif sont l'équipe technique ou le développeur dont les coordonnées de contact sont de toute façon affichables après un WHOIS.
Après on ne peut que remarquer la grosse boulette qui n'aurait jamais dû se produire.
Le #1903568
Pas joli joli tout ça
Le #1903607
burakki a écrit :

Oui m'enfin ceux qui demandent des certif sont l'équipe technique ou le développeur dont les coordonnées de contact sont de toute façon affichables après un WHOIS.
Après on ne peut que remarquer la grosse boulette qui n'aurait jamais dû se produire.




Ces informations du whois sont masqués chez la plupart des gens, justement pour éviter les SPAM en tout genre.

Seule celles du registrar sont affichés, et ce dernier fait le lien avec son client si besoin.


Le #1903610
Je propose à ceux qui ne sont pas contents de continuer à payer chacun de leurs certificats minimum 10€ par an...

Pour avoir accès aux services Google vous donnez votre âme et tout va bien, mais si 1.9% des utilisateurs de Let's Encrypt ont leur e-mail qui fuite alors là par contre c'est très mal... belle échelle de valeurs !
Pour info, à moins de ne jamais s'en servir, une adresse e-mail finit toujours par être récupérée par des spammeurs... Donc cette petite fuite ne va pas changer la face du monde...
Le #1903625
bugmenot a écrit :

Je propose à ceux qui ne sont pas contents de continuer à payer chacun de leurs certificats minimum 10€ par an...

Pour avoir accès aux services Google vous donnez votre âme et tout va bien, mais si 1.9% des utilisateurs de Let's Encrypt ont leur e-mail qui fuitent alors là par contre c'est très mal... belle échelle de valeurs !
Pour info, à moins de ne jamais s'en servir, une adresse e-mail finit toujours par être récupérée par des spammeurs... Donc cette petite fuite ne va pas changer la face du monde...



La gratuité n'est pas une excuse à la médiocrité.
Quand on propose un service tel que cela, un minimum de sérieux est nécessaire.....

Après, je sais pas ce que tu fais avec tes adresses mails, mais les multiples adresses pros, qui servent à certaines démarches, y'a absolument aucun spam depuis des années et des années.... pas comme une adresse en contac@ mis sur internet

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]