Борцов за безопасность подвела ошибка почтовой рассылки

Проект Let’s Encrypt сделал достоянием посторонних адреса электронной почты 7618 своих пользователей. Ирония ситуации состоит в том, что некоммерческая организация Let’s Encrypt является первой и пока единственной в мире инстанцией, бесплатно предоставляющей своим клиентам SSL-сертификаты – уникальные цифровые подписи, которые обеспечивают администраторам вебсайтов защищенное соединение между клиентом и сервером. Таким образом, проект, призванный повысить безопасность интернет-взаимодействий и обеспечить конфиденциальность данных, не смог защитить данные собственных клиентов.

Виной произошедшему стала техническая ошибка программы автоматической рассылки сообщений. Она должна была разослать всем клиентам уведомления об изменении в пользовательском соглашении. Но по неизвестным пока причинам в каждое последующее письмо программа вставляла адреса, на которые уже отправила эту информацию. Таким образом, очередной подписчик получал в сообщении все большее число адресов других подписчиков. Обнаружить сбой и прекратить рассылку удалось лишь к моменту, когда число отправленных писем достигло 7618.

Представители Let’s Encrypt уже принесли извинения своим клиентам и пообещали тщательно расследовать инцидент с тем, чтобы избежать подобных ситуаций в дальнейшем.