Let's Encrypt: bug afeta 7618 usuários

Milhares de usuários Let's Encrypt (plataforma gratuita de Certificados Digitais) viram seus endereços de e-mail sendo expostos neste sábado, quando a Autoridade Certificadora (CA) começou a enviar uma notificação para assinantes ativos.

Apoiado pela Electronic Frontier Foundation (EFF) e numerosas empresas de internet e tecnologia, o Let's Encrypt é um projeto que visa levar a criptografia para todas as áreas da Internet. Ele fornece aos proprietários de sites Certificados Livres (gratuitos), em uma tentativa de incentivá-los a fazer a transição para HTTPS, objetivando garantir uma comunicação segura entre os seus sites e navegadores dos usuários.

Por causa de uma falha do servidor, quando o Let's Encrypt começou a enviar e-mails para seus usuários em 11 de junho, para informá-los de uma atualização para o seu acordo de assinantes, o sistema automatizado usado incluiu todos os endereços de e-mail (por engano) anexado ao corpo da mensagem. Devido a este problema, os destinatários podiam ver os endereços de e-mail de outros assinantes.

Josh Aas, Diretor Executivo do Let's Encrypt, explica que o bug foi descoberto após 7,618 e-mails enviados e que o sistema automatizado foi interrompido naquele ponto. Ele também explica que, por o erro ter sido descoberto no início, apenas 1,9% por cento dos assinantes que forneceram um endereço de e-mail foram impactados pelo problema.

Ele também explicou que cada nova mensagem continha os endereços de todos os destinatários anteriores. "Cada e-mail por engano continha os endereços de email dos e-mails enviados antes dele, então, e-mails anteriores continham menos endereços do que os posteriores," Aas revela.

Dado que há cerca de 383 mil usuários, o impacto da falha poderia ter sido muito maior. Josh Aas também apelou para aqueles que acidentalmente receberam os endereços de email de outros usuários para não publicá-las publicamente.