CDIC 2023

พลาด !! Let’s Encrypt เผลอหลุดกว่า 7,600 Emails รั่วไหลสู่ภายนอก

lets_encrypt_logo

Let’s Encrypt ผู้ให้บริการ Certificate Authority (CA) แบบไม่แสวงหาผลกำไร เผลอหลุดอีเมลของผู้ใช้กว่า 7,618 รายการออกสู่ผู้ใช้บริการคนอื่น หลังจากเกิดบั๊คบนการส่งอีเมลเพื่ออัพเดทข้อตกลงของผู้ใช้งาน (Subscriber Agreement)

Let’s Encrypt เขียนจดหมายเปิดผนึกเพื่อกล่าวขออภัยผู้ใช้บริการเกี่ยวกับข้อผิดพลาดดังกล่าว โดยระบุว่า เหตุการณ์ที่เกิดขึ้นไม่ได้เลวร้ายอย่างที่คิด มีข้อมูลอีเมลเพียง 1.9% ของผู้ใช้บริการทั้งหมดกว่า 383,000 รายชื่อเท่านั้นที่รั่วไหลไปสู่ภายนอก

จดหมายเปิดผนึกนี้อธิบายถึงเหตุการณ์ที่เกิดขึ้นว่า เกิดจากบั๊คบนระบบอัตโนมัติที่มีการเพิ่มย่อหน้าที่ระบุอีเมลของผู้ใช้บริการคนที่เพิ่งส่งไปก่อนหน้านี้ ลงไปในเนื้อหาของอีเมลด้านบน นั่นหมายความว่า ผู้ใช้บริการคนที่ 2 ที่ได้รับอีเมลจะเห็นอีเมลของผู้ใช้บริการคนแรก ผู้ใช้บริการคนที่ 3 จะเห็นอีเมลของผู้ใช้บริการคนที่ 1 และ 2 และสุดท้าย ผู้ใช้บริการคนที่ 7,618 จะเห็นอีเมล์ของผู้ใช้ก่อนหน้านี้ทั้ง 7,617 คนทั้งหมด

lets_encrypt_faulty_email

อย่างไรก็ตาม ทาง Let’s Encrypt ได้แจ้งไปยังผู้รับอีเมลทุกคนที่ได้รับผลกระทบจากความผิดพลาดนี้ ว่าให้ช่วยปกปิดรายชื่ออีเมลเป็นความลับ ไม่เปิดเผยสู่สาธารณะ และจะรีบอัพเดทข้อมูลถึงสาเหตุที่เกิดขึ้นโดยเร็วที่สุด

ความผิดพลาดที่เกิดขึ้นนี้ เรียกได้ว่าเป็นความผิดพลาดครั้งใหญ่ที่กระทบต่อธุรกิจของ Let’s Encrypt ที่เพิ่งเปิดตัวให้บริการเมื่อปลายปี 2015 ที่ผ่านมา แต่ก็ไม่ถือว่าเป็นความผิดพลาดที่รุนแรงที่สุดที่เกิดกับผู้ให้บริการ CA

ที่มา: http://www.theregister.co.uk/2016/06/13/lets_encrypt_spaffs_7600_email_addresses/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ยกระดับบริการขององค์กรอย่างมั่นใจด้วย HPE Aruba Networking SASE โดย ยิบอินซอย

HPE Aruba Networking นำเสนอ Unified SASE ที่รวมเอาความสามารถของเทคโนโลยี SD-WAN และ SSE เข้าไว้ด้วยกัน เพื่อความง่ายดายในการบริหารจัดการ SD-WAN, Routing, WAN Optimization ตลอดจนการบังคับใช้นโยบายความปลอดภัยได้แบบ end-to-end เพื่อให้การทำงานของแอปพลิเคชันมีประสิทธิภาพสูงขึ้น มั่นคงปลอดภัย ลดต้นทุน และพร้อมให้บริการเสมอ

Microsoft แพตช์แก้ไขช่องโหว่เร่งด่วน 2 รายการให้ Edge, Teams และ Skype

Microsoft ได้แก้ไขช่องโหว่ Heap Buffer Overflow 2 รายการอย่างเร่งด่วนในไลบรารีที่ผลิตภัณฑ์ของตนเกี่ยวข้อง ทั้งนี้มีรายงานพบว่าช่องโหว่ได้ถูกนำไปใช้โจมตีจริงแล้ว