Центр сертификации Let's Encrypt признался в случайной утечке 383 тысяч адресов электронной почты пользователей.

Исполнительный директор Internet Security Research Group (ISRG) Джош Аас (Josh Aas) публично извинился за случайную утечку данных и пояснил, что проблема возникла из-за некорректной организации массовой рассылки уведомления об изменении условий предоставления сервиса.

Ошибка в скрипте рассылки привела к тому, что к телу письма добавлялись данные о других получателях рассылки. Добавлялось от 0 до 7618 электронных адресов. Таким образом, получатель такого письма смог видеть адреса других получателей. Некоторые пользователи имели возможность видеть больше электронных адресов, некоторые меньше, потому как каждое письмо содержало лишь адреса электронной почты, на которые ранее уже были разосланы уведомления. В результате этого инцидента произошла утечка 383 тысяч адресов электронной почты пользователей сервиса, что составляет примерно 1,9 процента от общей пользовательской базы Let's Encrypt.

Безусловно, подобный инцидент неприемлем для организации, которая занимается сертификацией безопасности. С другой стороны, Let's Encrypt отмечает, что утечка данных могла быть намного масштабнее, если бы они не заметил возникшую проблему и вовремя не реагировали на неё.