Bug liet Enigmail-add-on voor Thunderbird e-mails zonder encryptie versturen

Er is een update uitgekomen voor een bug in de Enigmail-add-on voor de e-mailclient Thunderbird. Daardoor werden e-mails bij gebruik van de pEp-modus zonder encryptie verstuurd, hoewel deze wel aanwezig leek te zijn. Het probleem trof alleen Windows-gebruikers.

De bug deed zich voor bij gebruik van de software Enigmail/p≡p, meldt de pEp Foundation in een blogpost. Op Windows zorgde de bug ervoor dat e-mails zonder encryptie werden verstuurd, terwijl de software wel aangaf dat het bericht was versleuteld. De fout had te maken met een build error in versie 1.0.23 van de pEp-software die was ontdekt door C't. De site schreef dat dit in de zogenaamde Junior-modus gebeurde, die standaard in Enigmail is geactiveerd.

Sinds maart van dit jaar hebben de pEp Foundation en Enigmail hun software gecombineerd in de vorm van Enigmail/p≡p, wat het gebruik van pgp-encryptie voor nieuwe gebruikers moet vereenvoudigen. Daarbij staat pEp voor 'pretty easy privacy' en neemt de software de gebruiker stappen uit handen zoals het aanmaken van sleutelparen. Daarnaast vindt encryptie automatisch plaats. Het gebruik van pEp binnen de Enigmail-add-on is standaard voor nieuwe gebruikers.

De bug is op 12 oktober verholpen in versie 1.0.24 van de pEp-software, nadat deze op 3 oktober was ontdekt en aanwezig was sinds 26 september. De pEp Foundation meldt dat 6000 mensen de software tussen 26 september en 3 oktober hebben gedownload. Na ontdekking werd de distributie van de getroffen softwareversie stilgelegd.

Enigmail is een add-on voor Mozilla's e-mailclient Thunderbird en maakt het mogelijk om e-mail te versleutelen met toepassing van pgp-encryptie.