افشاء نشانی‌های رایانامه مشترکان پروژه‌ی Let`s Encrypt توسط خود شرکت

هزاران نفر از کاربران «Let`s Encrypt» مشاهده کردند که نشانی‌های رایانامه‌ی آن‎ها شنبه گذشته در معرض خطر قرار گرفت و آن زمانی بود که مرجع گواهی‌نامه‌های باز (CA) شروع به ارسال اطلاعیه‌هایی به مشترکین فعال کرد.
Let`s Encrypt پروژه‌ای است که توسط بنیاد مرزهای الکترونیک (EFF) و چندین شرکت فناوری و الکترونیکی مختلف پشتیبانی می‌شود و هدف آن کمک به استقرار رمزنگاری در بخش‌های مختلف اینترنت است. این پروژه به صاحبان وب‌گاه‌ها کمک می‌کند تا گواهی‌نامه‌های رایگان را کسب کنند و تلاش می‌کند تا آن‌ها بتوانند به پروتکل HTTPS منتقل شده و مطمئن شوند که یک ارتباط امن میان وب‌گاه آن‌ها و مرورگر کاربران برقرار است.

در هنگام ایجاد مشکل برای این کارگزار، Let`s Encrypt شروع به ارسال رایانامه‌هایی به کاربران خود در تاریخ یازدهم ژوئن می‌نمود تا به آن‌ها در مورد یک به‎روزرسانی برای موافقت‌نامه‌ی مشترکان خود اطلاع‌رسانی کند، سامانه خودکاری که برای آن استفاده می‌شد به اشتباه نشانی‌های رایانامه را به بدنه‌ی خود رایانامه اضافه کرد. به دلیل این مشکل، گیرندگان این رایانامه‌ها می‌توانستند نشانی‌های رایانامه‌ی سایر مشترکان را هم ببینند.
مدیر اجرایی ISRG پروژه‌ی Let`s Encrypt جاش آس توضیح داده است که این حفره بعد از ارسال رایانامه شماره ۷۶۱۸ تشخیص داده شد و پس از آن سامانه خودکار متوقف شد. همچنین او شرح می‌دهد که در اثر این حفره‌ای که کشف شده است تنها ۱.۹ درصد از مشترکانی که برای آن‌ها رایانامه ارسال شده است، تحت تأثیر این مشکل قرار گرفته‌اند.

همچنین او شرح داده است که هر پیام جدیدی حاوی همه‌ی نشانی‌های گیرندگان قبلی است. آس می‌گوید: «هر کدام از رایانامه‌ها حاوی نشانی‌ رایانامه‌هایی است که قبل از آن فرستاده شده‌اند، بنابراین رایانامه‌هایی که در ابتدا فرستاده شده‌اند نشانی‌های کمتری نسبت به رایانامه‌های بعد از خود را در بر داشتند».
با توجه به اینکه حدود ۳۸۳۰۰۰ کاربر، مشترک خبرنامه‌ی Let`s Encrypt شده‌اند، تأثیر این مشکل می‌توانست خیلی بیشتر از این باشد. همچنین آس از کسانی که به صورت تصادفی نشانی‌های رایانامه‌ی دیگر کاربران را دریافت کرده‌اند خواست تا آن‎ها را به صورت عمومی ارسال نکنند.

با توجه به اینکه برخی از مشترکان Let`s Encrypt که شروع به بحث در مورد این مشکل در انجمن جامعه‌ی CA کرده‌اند، گفته‌اند این مشکل ممکن است در بستر رایانامه‌ی Mandrill از MailChimp باشد. CA از این خدمات برای ارسال اطلاعیه‌های رایانامه‌ای استفاده می‌کند و این مشکل ممکن است در اثر ارتباط میان Let`s Encrypt و Mandrill و یا از خود خدمات آن ناشی شده باشد.
به گفته‌ی آس، CA در حال حاضر در حال تحقیق در مورد این رخداد است و جزئیات بیشتری را در مورد این موضوع به زودی منتشر خواهد کرد. او گفت: «ما ارتباطمان را با کاربران خود بسیار جدی تلقی می‌کنیم و به خاطر این اشتباه پوزش می‌طلبیم. ما به زودی تحقیق کاملی در این مورد انجام خواهیم داد تا مشخص کنیم که به صورت دقیق این مشکل چگونه رخ داده است و ما چگونه می‌توانیم از وقایعی مانند این جلوگیری کنیم. به زودی گزارش این حادثه با نتایج یافت شده به‎روزرسانی خواهد شد».

Let`s Encrypt اولین گواهینامه‌ی دیجیتال خود را در تاریخ سپتامبر سال گذشته منتشر کرد و در ماه دسامبر وارد مرحله‌ی بتای عمومی شد. CA برچسب‌های بتای خود را در آوریل ۲۰۱۶ و بعد از صدور گواهینامه شماره یک میلیون خود حذف کرد. در ماه می، EFF اعلام کرد که خدمات گیرنده‌ی Cerbot پروژه‌ی Let`s Encrypt در مرحله‌ی بتا راه‌اندازی شده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.