Un fallo de seguridad en Let´s Encrypt deja al descubierto datos de usuarios
Se trata de uno de los servicios de moda entre los usuarios, permitiendo conseguir un certificado para proteger las conexiones extremo a extremo. Sin embargo, en esta ocasión podría aplicarse el dicho de “en casa del herrero cuchillo de palo”. Expertos en seguridad han notificado un fallo de seguridad en algún servidor de Let´s Encrypt que ha permitido el filtrado por el momento de direcciones de correo electrónico.
Según fuentes cercanas al servicio el problema ya ha sido subsanado y los datos expuestos solo son el 2% del total existente. Una cantidad ínfima para los responsables de Let´s Encrypt pero que en lo referido a cifras se tratan de más de 7.600 direcciones de correo electrónico.
Es un proyecto en el que participa en gran medida la fundación Mozilla y que tal y como ya hemos comentado se trata de un servicio muy popular, permitiendo al usuario disponer de un sitio web y permitir la conexión a este haciendo uso de conexiones HTTPS y un certificado válido. Para hacernos a la idea de cuál es la importancia del servicio, el pasado mes se contabilizaron un total de 3.8 millones de dominios haciendo uso del servicio.
El fallo no recae sobre Let´s Encrypt
Aunque en un primer momento hemos citado a los responsables del servicio como los culpables, hay que decir que esto no es exactamente así. Hace poco, han puesto en funcionamiento un servicio de noticias a través de correo electrónico, permitiendo al usuario mantenerse informado sobre las principales novedades. Para ser más eficientes, una tercera empresa se encarga de este servicio, siendo esta la que se ha visto afectada por el problema de seguridad.
Los responsables de Let´s Encrypt pronto fueron informados de lo que estaba sucediendo y resolvieron el problema, dejando en solo el 2% el porcentaje de direcciones de correo electrónico que se vieron afectadas.
Este consistía en el envío de mensajes que contenían las direcciones del resto de usuarios que estaban en la cola, algo que no tiene una explicación aparente, o al menos todavía no se ha ofrecido.
Mercado negro y spam
Aquellas que se han filtrado es probable que además de filtrarse se pongan a la venta en el mercado negro y hacer uso de ellas para enviar correos spam, tratando de estafar al usuario y conseguir la instalación de malware en los equipos, una práctica bastante habitual cada vez que se produce un robo de datos de estas características.
Ver información original al respecto en Fuente: tos-usuarios/#sthash.SbSVQ4ls.dpuf”>http://www.redeszone.net/2016/06/12/fallo-seguridad-lets-encrypt-deja-al-descubierto-datos-usuarios/#sthash.SbSVQ4ls.dpuf
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.