Fail di Adobe: team di sicurezza pubblica la chiave PGP privata sul blog ufficiale

Fail di Adobe: team di sicurezza pubblica la chiave PGP privata sul blog ufficiale

Gli incidenti avvengono, ma quello che ha visto come protagonista Adobe è stato grossolano a dir poco. Al momento, però, tutto è stato risolto

di pubblicata il , alle 11:01 nel canale Sicurezza
Adobe
 

Adobe ha pubblicato per sbaglio la chiave crittografica PGP privata sul blog ufficiale. L'incidente è avvenuto venerdì quando il PSIRT (Product Security Incident Response Team) ha mostrato in chiaro la chiave nella sua interezza su un post nel blog. La chiave è stata prontamente rimossa, ma il ricercatore di sicurezza Joho Nurminen e altri hanno pubblicato diversi screenshot per immortalare l'evento e prendersi gioco della società per aver commesso il grossolano errore.

Una versione del post è ancora disponibile online attraverso Google Cache, e si può notare che ad essere stata condivisa non è solo il key block pubblico, ma anche quello privato che dovrebbe essere accessibile solo agli addetti ai lavori della compagnia. 

Ma cos'è una PGP Key? PGP sta per Pretty Good Privacy, ed è un sistema che attraverso OpenPGP consente di inviare messaggi via internet protetti da crittografia. Si tratta quindi di un layer di sicurezza aggiuntivo in modo da offrire una maggiore privacy alle comunicazioni effettuate sul web. Questo sistema viene spesso utilizzato nelle conversazioni via email, dove la protezione avviene attraverso una chiave pubblica ma i messaggi vengono cifrati con una chiave privata.

Offrendo la chiave privata pubblicamente è chiaro che tutto il sistema crittografico va in fumo e la protezione svanisce. Nel caso di Adobe, avendo in possesso la chiave PGP privata un utente malintenzionato avrebbe potuto accedere a tutti i messaggi gestiti dal team di sicurezza della società semplicemente intercettandoli. Un problema che naturalmente anche il PSIRT di Adobe conosce e, infatti, il post è stato rapidamente rimosso e la chiave subito revocata.

L'errore è stato subito risanato, un po' meno l'imbarazzo per la società. Secondo il ricercatore Otto Kekäläinen è da incolpare anche il client e-mail che ha consentito di "esportare accidentalmente" anche la chiave privata. Quella da comunicare, insomma, dovrebbe essere solo quella pubblica, ma un semplice controllo avrebbe potuto risparmiare l'imbarazzo alla compagnia americana.

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
zappy26 Settembre 2017, 11:50 #1
Se si vede pubblicamente ancora adesso su google cache e cmq se è stata esposta anche 5 minuti e qualcuno l'ha copiata, col piffero che "la cosa è risolta"...
s-y26 Settembre 2017, 11:58 #2
va beh, sarà stata revocata
si spera
zappy26 Settembre 2017, 12:10 #3
Originariamente inviato da: s-y
va beh, sarà stata revocata
si spera

se sei offline e/o non c'è la verifica dei certificati attivata, penso venga presa sempre x buona...
s-y26 Settembre 2017, 12:54 #4
Originariamente inviato da: zappy
se sei offline e/o non c'è la verifica dei certificati attivata, penso venga presa sempre x buona...


sarebbe da sapere se lo usavano, come suppongo ma boh, solo per i messaggi 'interni'

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^