Die Zertifizierungsstelle Let’s Encrypt informiert, dass sie aus Versehen mehrere Tausend E-Mail-Adressen von Interessenten öffentlich gemacht hat. Aufgrund eines Systemfehlers standen im Fließtext ausgehender E-Mails „zwischen 0 und 7618 andere E-Mail-Adressen“.
Die gleiche Zahl Anwender, nämlich 7618 Personen, konnte dadurch fremde Adressen im Klartext einsehen. Dann wurde der Versand abgebrochen. Insgesamt umfasst die E-Mail-Liste 383.000 Empfänger, nur 1,9 Prozent waren also betroffen, wie Josh Aas konstatiert, der Executive Director der Internet Security Research Group (ISRG).
Die Zahl der enthaltenen E-Mail-Adressen variierte: Aas zufolge enthielt jede E-Mail die Adressen der vorherigen Empfänger, die Zahl der einsehbaren Mitabonnenten stieg also langsam an.
„Wir nehmen unsere Beziehung zu den Anwendern sehr ernst und bitten für den Fehler um Entschuldigung“, schreibt Aas. „Wir werden eine gründliche Analyse durchführen, um exakt herauszufinden, wie das passiert ist und wie wir vergleichbare Zwischenfälle in Zukunft verhindern können. Dieser Bericht wird dann mit den Ergebnissen aktualisiert werden.“
Let’s Encrypt macht sich mit kostenlosen TLS-Sicherheitszertifikaten für Webmaster für mehr Einsatz von Verschlüsselung im Internet stark. Im April verließ das Projekt die Betaphase, nachdem es mehr als 1,7 Millionen Zertifikate für über 3,8 Millionen Websites ausgegeben hatte.
Hochsicherheitstechnik für mobile Endgeräte: Die Vorteile von Samsung KNOX
Wenn Smartphones beruflich und privat genutzt werden, steht der Schutz sensibler Unternehmensdaten auf dem Spiel. Samsung KNOX™ bietet einen mehrschichtigen, hochwirksamen Schutz, ohne die Privatsphäre der Mitarbeiter anzutasten.
Hinter der Initiative stehen etwa Akamai, Cisco, die Elecronic Frontier Foundation (EFF), IdenTrust, die Linux Foundation, Mozilla und die Universität Michigan als Sponsoren oder Helfer. Die Durchführung übernimmt die ISRG. Transport Layer Security (TLS) ist der Nachfolger von Secure Sockets Layer (SSL) für sicheres HTTP, also HTTPS. Die EFF hatte im Dezember auch ein Bug-Prämienprogramm zu Let’s Encrypt gestartet. Melder von Lücken erhalten allerdings vorerst nur Sachpreise und Punkte für eine Hall of Fame der EFF. Das Programm deckt auch andere Sicherheitsprogramme der Organisation wie HTTPS Everywhere und ihre Webapps ab.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.
Neueste Kommentare
1 Kommentar zu Let’s Encrypt meldet versehentlich öffentlich gemachte E-Mail-Adressen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Das fängt ja gut an .Nennt sich Sicherheitsfirma ?