Let’s Encrypt meldet versehentlich öffentlich gemachte E-Mail-Adressen

Durch einen Systemfehler enthielten ausgehende Rundmails jeweils die Adressen aller früheren Empfänger im Volltext. Der Versand wurde nach 19 Prozent aller anstehenden Nachrichten gestoppt. Die Ausgabestelle für kostenlose TLS-Zertifikate bittet um Entschuldigung.

Die Zertifizierungsstelle Let’s Encrypt informiert, dass sie aus Versehen mehrere Tausend E-Mail-Adressen von Interessenten öffentlich gemacht hat. Aufgrund eines Systemfehlers standen im Fließtext ausgehender E-Mails „zwischen 0 und 7618 andere E-Mail-Adressen“.

(Bild: Let's Encrypt)Die gleiche Zahl Anwender, nämlich 7618 Personen, konnte dadurch fremde Adressen im Klartext einsehen. Dann wurde der Versand abgebrochen. Insgesamt umfasst die E-Mail-Liste 383.000 Empfänger, nur 1,9 Prozent waren also betroffen, wie Josh Aas konstatiert, der Executive Director der Internet Security Research Group (ISRG).

Die Zahl der enthaltenen E-Mail-Adressen variierte: Aas zufolge enthielt jede E-Mail die Adressen der vorherigen Empfänger, die Zahl der einsehbaren Mitabonnenten stieg also langsam an.

„Wir nehmen unsere Beziehung zu den Anwendern sehr ernst und bitten für den Fehler um Entschuldigung“, schreibt Aas. „Wir werden eine gründliche Analyse durchführen, um exakt herauszufinden, wie das passiert ist und wie wir vergleichbare Zwischenfälle in Zukunft verhindern können. Dieser Bericht wird dann mit den Ergebnissen aktualisiert werden.“

Let’s Encrypt macht sich mit kostenlosen TLS-Sicherheitszertifikaten für Webmaster für mehr Einsatz von Verschlüsselung im Internet stark. Im April verließ das Projekt die Betaphase, nachdem es mehr als 1,7 Millionen Zertifikate für über 3,8 Millionen Websites ausgegeben hatte.

HIGHLIGHT

Hochsicherheitstechnik für mobile Endgeräte: Die Vorteile von Samsung KNOX

Wenn Smartphones beruflich und privat genutzt werden, steht der Schutz sensibler Unternehmensdaten auf dem Spiel. Samsung KNOX™ bietet einen mehrschichtigen, hochwirksamen Schutz, ohne die Privatsphäre der Mitarbeiter anzutasten.

Hinter der Initiative stehen etwa Akamai, Cisco, die Elecronic Frontier Foundation (EFF), IdenTrust, die Linux Foundation, Mozilla und die Universität Michigan als Sponsoren oder Helfer. Die Durchführung übernimmt die ISRG. Transport Layer Security (TLS) ist der Nachfolger von Secure Sockets Layer (SSL) für sicheres HTTP, also HTTPS. Die EFF hatte im Dezember auch ein Bug-Prämienprogramm zu Let’s Encrypt gestartet. Melder von Lücken erhalten allerdings vorerst nur Sachpreise und Punkte für eine Hall of Fame der EFF. Das Programm deckt auch andere Sicherheitsprogramme der Organisation wie HTTPS Everywhere und ihre Webapps ab.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.

Themenseiten: E-Mail, Electronic Frontier Foundation, Secure-IT, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Florian Kalenda
Autor: Florian Kalenda
Leitender Redakteur ZDNet.de
Florian Kalenda
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Let’s Encrypt meldet versehentlich öffentlich gemachte E-Mail-Adressen

Kommentar hinzufügen
  • Am 20. Juni 2016 um 7:48 von Raimond Herrmann

    Das fängt ja gut an .Nennt sich Sicherheitsfirma ?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *