พลาด !! Let’s Encrypt เผลอหลุดกว่า 7,600 Emails รั่วไหลสู่ภายนอก

lets_encrypt_logo

Let’s Encrypt ผู้ให้บริการ Certificate Authority (CA) แบบไม่แสวงหาผลกำไร เผลอหลุดอีเมลของผู้ใช้กว่า 7,618 รายการออกสู่ผู้ใช้บริการคนอื่น หลังจากเกิดบั๊คบนการส่งอีเมลเพื่ออัพเดทข้อตกลงของผู้ใช้งาน (Subscriber Agreement)

Let’s Encrypt เขียนจดหมายเปิดผนึกเพื่อกล่าวขออภัยผู้ใช้บริการเกี่ยวกับข้อผิดพลาดดังกล่าว โดยระบุว่า เหตุการณ์ที่เกิดขึ้นไม่ได้เลวร้ายอย่างที่คิด มีข้อมูลอีเมลเพียง 1.9% ของผู้ใช้บริการทั้งหมดกว่า 383,000 รายชื่อเท่านั้นที่รั่วไหลไปสู่ภายนอก

จดหมายเปิดผนึกนี้อธิบายถึงเหตุการณ์ที่เกิดขึ้นว่า เกิดจากบั๊คบนระบบอัตโนมัติที่มีการเพิ่มย่อหน้าที่ระบุอีเมลของผู้ใช้บริการคนที่เพิ่งส่งไปก่อนหน้านี้ ลงไปในเนื้อหาของอีเมลด้านบน นั่นหมายความว่า ผู้ใช้บริการคนที่ 2 ที่ได้รับอีเมลจะเห็นอีเมลของผู้ใช้บริการคนแรก ผู้ใช้บริการคนที่ 3 จะเห็นอีเมลของผู้ใช้บริการคนที่ 1 และ 2 และสุดท้าย ผู้ใช้บริการคนที่ 7,618 จะเห็นอีเมล์ของผู้ใช้ก่อนหน้านี้ทั้ง 7,617 คนทั้งหมด

lets_encrypt_faulty_email

อย่างไรก็ตาม ทาง Let’s Encrypt ได้แจ้งไปยังผู้รับอีเมลทุกคนที่ได้รับผลกระทบจากความผิดพลาดนี้ ว่าให้ช่วยปกปิดรายชื่ออีเมลเป็นความลับ ไม่เปิดเผยสู่สาธารณะ และจะรีบอัพเดทข้อมูลถึงสาเหตุที่เกิดขึ้นโดยเร็วที่สุด

ความผิดพลาดที่เกิดขึ้นนี้ เรียกได้ว่าเป็นความผิดพลาดครั้งใหญ่ที่กระทบต่อธุรกิจของ Let’s Encrypt ที่เพิ่งเปิดตัวให้บริการเมื่อปลายปี 2015 ที่ผ่านมา แต่ก็ไม่ถือว่าเป็นความผิดพลาดที่รุนแรงที่สุดที่เกิดกับผู้ให้บริการ CA

ที่มา: http://www.theregister.co.uk/2016/06/13/lets_encrypt_spaffs_7600_email_addresses/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …