Let’s Encrypt7000多个用户邮箱地址就这样泄露了

Let’s Encrypt，翻译成中文叫“让我们来加密”，实际上是个为广大网站免费颁发SSL/TLS证书的项目。它的来头不小，目前是由Linux基金会托管，发起该项目的组织包括Mozilla、思科、EFF等。这个项目对于Web世界由HTTP过渡到HTTPS是异常重要的。

该项目自问世以来就很受欢迎，据说到今年4月中旬，他们就已经发放了超过170万份证书。

许多网站管理人员在享受这项服务的同时，还顺便订阅了Let’s Encrypt的简报——就类似于平常你在一家网站注册，或者购买某款产品之后，还订阅了这家网站的各种动态信息，网站会定期给你发邮件。目前Let’s Encrypt已经拥有38.3万订阅用户。

就在前两天Let’s Encrypt出现了问题，7000多名用户的电子邮件地址被泄露。

第三方服务的侧漏

Let’s Encrypt并没有选择自己给用户发邮件，而是找第三方服务代发。在这封简报邮件发出后，7618名用户的邮件地址遭遇泄露。Let’s Encrypt ISRG执行董事Josh Aas表示，这是系统中的BUG导致的。

这套第三方系统会将订阅用户的电子邮件地址添加到发送队列中。BUG就在于，订阅队列中的第10个人，是可以看到订阅队列前9个人的电子邮件地址的。以此类推，大量用户的邮箱地址也就因此泄露了。收到这封邮件的部分用户，很快就将该问题反映给了Let’s Encrypt负责人。即便负责人很快采取措施，却已经有7618位用户收到了邮件，这些用户占到订阅用户总数的1.9%，悲剧也就这么发生了。

Aas表示：

“如果您收到了这封邮件，我们请求您不要公开这份邮箱地址列表。”

Aas还说，未来一定会就此事件再做一份反馈报告。（原文来自freebuf）