Specjalista do spraw bezpieczeństwa, Juho Nurminen, zauważył błąd firmy i poinformował o tym na swoim koncie na Twitterze. Potwierdził też, że klucz jest związany z adresem e-mail, z którego korzystał zespół do spraw bezpieczeństwa Adobe.
Oh shit Adobe pic.twitter.com/7rDL3LWVVz
— Juho Nurminen (@jupenur) September 22, 2017
Osoba odpowiedzialna za wyciek, używała prawdopodobnie rozszerzenia Mailvelope do Chrome albo Firefoxa, które umożliwia wyeksportowanie klucza z programu PGP. Niestety, inżynier przez przypadek musiał mieć zaznaczoną opcję “wszystko” zamiast “tylko klucz publiczny” i w pośpiechu udostępnił na blogu oba klucze bez wcześniejszego sprawdzenia co publikuje.
Ta wpadka może mieć bardzo poważne konsekwencje. Teoretycznie ujawniony przez przypadek klucz prywatny, może zostać wykorzystany do odszyfrowania starszych wiadomości. Jeśli inżynierowie Adobe wysyłali informacje dotyczące niezałatanych jeszcze dziur, a ich poczta była podsłuchiwana, przestępcy mogą spróbować wykorzystać niezałatane jeszcze dziury w oprogramowaniu takim jak na przykład Flash. | CHIP
