Adobe omylem zveřejnil privátní PGP klíč ke svému e-mailu
24.9.2017, Milan Šurkala, aktualita
Někdy se každému stane pěkná bota, která může mít závažné následky a tentokrát to postihlo jednoho zaměstnance v Adobe. Ten totiž na blogu bezpečnostního týmu zveřejnil i privátní PGP klíč k e-mailu Adobe místo toho veřejného.
Pokud najdete bezpečnostní chybu v produktech Adobe, můžete dát společnosti Adobe vědět pomocí speciálního e-mailu. Abyste tým PSIRT (Product Security Incident Response Team) kontaktovali a udrželi citlivé informace v tajnosti, aby žádný útočník o hlášené bezpečnostní chybě nedostal žádné detaily, publikuje Adobe na svém blogu veřejný šifrovací PGP klíč. Tím je možné zprávu zašifrovat a nikdo by se k jejímu obsahu neměl dostat s výjimkou toho, kdo má privátní (soukromý) klíč. Ten by měl být držen soukromě v rukou Adobe. Jenže klíč se nedávno dostal na veřejnost.
Jeden ze zaměstnanců Adobe, který publikoval veřejný klíč k e-mailu na blogu Adobe, totiž místo toho veřejného nasdílel oba včetně toho privátního. Toho si všiml bezpečnostní výzkumník Juho Nurminen, otázkou je však, zda si toho za tu dobu všiml i někdo jiný. Pokud ano a má k dispozici e-maily zašifrované klíčem, ke kterému byl omylem zveřejněn i ten privátní, mohl by tyto zprávy rozšifrovat. Takové zprávy mohly obsahovat např. informace o bezpečnostních dírách v Adobe Flash, který je, jak všichni víme, s bezpečnostní dost na štíru. Adobe pochopitelně urychleně nahradil klíče k e-mailu.