Let's Encrypt lekt e-mailadressen abonnees door systeemfout
De gratis ssl-dienst Let's Encrypt heeft door een fout in één van de geautomatiseerde e-mailsystemen de e-mailadressen van duizenden abonnees gelekt die zich voor de mailinglist hadden ingeschreven. Afgelopen zaterdag besloot Let's Encrypt alle abonnees een e-mail te sturen vanwege een update van de gebruikersovereenkomst. Dit werd gedaan via een geautomatiseerd systeem.
Het systeem bevatte echter een bug waardoor tussen de 0 en 7618 e-mailadressen aan de tekst van de e-mail werden toegevoegd. Daardoor konden ontvangers de e-mailadressen van andere abonnees zien. Het probleem werd ontdekt nadat 7.618 van de ongeveer 383.000 e-mails waren verstuurd. Elke e-mail bevatte per ongeluk de e-mailadressen van het e-mailadres ervoor. In de eerdere e-mails stonden dan ook minder e-mailadressen dan de latere berichten.
Josh Aas, directeur van de Internet Security Research Group (ISRG), betreurt de fout en zegt dat er een uitgebreid onderzoek zal worden gestart hoe de fout zich kon voordoen en hoe het in de toekomst voorkomen kan worden. Let's Encrypt is een initiatief van ISRG en werd mede opgericht door de EFF. Het wordt gesteund door Mozilla, Akamai, Cisco en verschillende andere partijen. Het initiatief heeft een volledig versleuteld web als doel. Door gratis ssl-certificaten uit te geven hoopt de dienst dat meer websites het verkeer van en naar bezoekers gaan versleutelen.
Let's Encrypt op je computer moet installeren?
Let's Encrypt op je computer moet installeren?
Scherp opgemerkt ;)
Ergens is het eigenlijk ook wel knap dat blijkbaar de logica niet gebaseerd op is "stuur elk adres in dit array dit mailtje" met op dat adres nog een extra controle tegen meerdere adressen in één string... anders kan zo'n fout eigenlijk al niet voorkomen...
Let's Encrypt op je computer moet installeren?
Let's Encrypt op je computer moet installeren?
Ik denk dat je er nooit mee te maken gehad hebt.
Ik vind dat script wat je moet ophalen (dan denk ik ik heb alles) en wat dan vervolgens eigenmachtig allerlei
dingen gaat downloaden en pakketten gaat installeren zonder aankondiging EEN GEDROCHT.
Zolang ze hier niks aan verbeteren ga IK geen Let's Encrypt gebruiken!
Let's Encrypt op je computer moet installeren?
Ik denk dat je er nooit mee te maken gehad hebt.
Ik vind dat script wat je moet ophalen (dan denk ik ik heb alles) en wat dan vervolgens eigenmachtig allerlei
dingen gaat downloaden en pakketten gaat installeren zonder aankondiging EEN GEDROCHT.
Zolang ze hier niks aan verbeteren ga IK geen Let's Encrypt gebruiken!
Dude het was vroeger een crime maar als je nu op hun get-started pagina kijkt dan word je gelinkt aan bijv cert-bot, eenvoudiger dan dat wordt het niet. Daarnaast zijn er genoeg alternatieven die gewoon alleen shell nodig hebben: https://github.com/Neilpang/acme.sh
Let's Encrypt op je computer moet installeren?
Ik denk dat je er nooit mee te maken gehad hebt.
Ik vind dat script wat je moet ophalen (dan denk ik ik heb alles) en wat dan vervolgens eigenmachtig allerlei
dingen gaat downloaden en pakketten gaat installeren zonder aankondiging EEN GEDROCHT.
Zolang ze hier niks aan verbeteren ga IK geen Let's Encrypt gebruiken!
Dude het was vroeger een crime maar als je nu op hun get-started pagina kijkt dan word je gelinkt aan bijv cert-bot, eenvoudiger dan dat wordt het niet. Daarnaast zijn er genoeg alternatieven die gewoon alleen shell nodig hebben: https://github.com/Neilpang/acme.sh
Ik heb het er NIET over of het eenvoudig gaat (dwz dat iedere aap het kan uitvoeren).
Ik heb het er over dat als je de procedure die op zich heel eenvoudig is gaat doorlopen, er vanalles gedaan
wordt zonder dat dit eerst uiteengezet wordt. Zelfs als je het ding op proef even aanroept met de optie die
alleen maar de help zou moeten afdrukken dan gaat hij zichzelf nog een keer downloaden in een hidden
directory en gaat hij ongevraagd allerlei extra pakketten installeren op je systeem. Ik vind dat onacceptabel
gedrag. Tuurlijk, het is allemaal "heel eenvoudig" maar ik wil graag weten hoe mijn systeem vertimmerd
gaat worden en dat wordt niet inzichtelijk omdat je niet gewoon even een script kunt bekijken wat alles gaat
doen. Het lijkt wel een obfuscated code wedstrijd.
Ik heb het getest op een VM waar ik even een snapshot van gemaakt had en ik was blij dat ik dat gedaan
had. Gelijk snapshot terug gezet en deze drama zooi opzij geschoven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.