Fail di Adobe: team di sicurezza pubblica la chiave PGP privata sul blog ufficiale
Gli incidenti avvengono, ma quello che ha visto come protagonista Adobe è stato grossolano a dir poco. Al momento, però, tutto è stato risolto
di Nino Grasso pubblicata il 26 Settembre 2017, alle 11:01 nel canale SicurezzaAdobe
Adobe ha pubblicato per sbaglio la chiave crittografica PGP privata sul blog ufficiale. L'incidente è avvenuto venerdì quando il PSIRT (Product Security Incident Response Team) ha mostrato in chiaro la chiave nella sua interezza su un post nel blog. La chiave è stata prontamente rimossa, ma il ricercatore di sicurezza Joho Nurminen e altri hanno pubblicato diversi screenshot per immortalare l'evento e prendersi gioco della società per aver commesso il grossolano errore.
Oh shit Adobe pic.twitter.com/7rDL3LWVVz
— Juho Nurminen (@jupenur) 22 settembre 2017
Una versione del post è ancora disponibile online attraverso Google Cache, e si può notare che ad essere stata condivisa non è solo il key block pubblico, ma anche quello privato che dovrebbe essere accessibile solo agli addetti ai lavori della compagnia.
Ma cos'è una PGP Key? PGP sta per Pretty Good Privacy, ed è un sistema che attraverso OpenPGP consente di inviare messaggi via internet protetti da crittografia. Si tratta quindi di un layer di sicurezza aggiuntivo in modo da offrire una maggiore privacy alle comunicazioni effettuate sul web. Questo sistema viene spesso utilizzato nelle conversazioni via email, dove la protezione avviene attraverso una chiave pubblica ma i messaggi vengono cifrati con una chiave privata.
Offrendo la chiave privata pubblicamente è chiaro che tutto il sistema crittografico va in fumo e la protezione svanisce. Nel caso di Adobe, avendo in possesso la chiave PGP privata un utente malintenzionato avrebbe potuto accedere a tutti i messaggi gestiti dal team di sicurezza della società semplicemente intercettandoli. Un problema che naturalmente anche il PSIRT di Adobe conosce e, infatti, il post è stato rapidamente rimosso e la chiave subito revocata.
L'errore è stato subito risanato, un po' meno l'imbarazzo per la società. Secondo il ricercatore Otto Kekäläinen è da incolpare anche il client e-mail che ha consentito di "esportare accidentalmente" anche la chiave privata. Quella da comunicare, insomma, dovrebbe essere solo quella pubblica, ma un semplice controllo avrebbe potuto risparmiare l'imbarazzo alla compagnia americana.
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infosi spera
si spera
se sei offline e/o non c'è la verifica dei certificati attivata, penso venga presa sempre x buona...
sarebbe da sapere se lo usavano, come suppongo ma boh, solo per i messaggi 'interni'
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".