Adobe udostępniło klucz prywatny do swojej poczty

Hakerzy mogą odszyfrować wiadomości wysłane przez firmę.

Zespół umieścił w sieci klucz publiczny, aby zewnętrzni partnerzy Adobe mogli kontaktować się z użyciem szyfrowania poczty. Niestety, wraz z kluczem publicznym skopiowano również klucz prywatny, który umożliwia odszyfrowanie wiadomości. Klucz prywatny nie powinien być udostępniany komukolwiek, w przeciwieństwie do klucza publicznego.

Specjalista do spraw bezpieczeństwa, Juho Nurminen, zauważył błąd firmy i poinformował o tym na swoim koncie na Twitterze. Potwierdził też, że klucz jest związany z adresem e-mail, z którego korzystał zespół do spraw bezpieczeństwa Adobe.

Osoba odpowiedzialna za wyciek, używała prawdopodobnie rozszerzenia Mailvelope do Chrome albo Firefoxa, które umożliwia wyeksportowanie klucza z programu PGP. Niestety, inżynier przez przypadek musiał mieć zaznaczoną opcję „wszystko” zamiast „tylko klucz publiczny” i w pośpiechu udostępnił na blogu oba klucze bez wcześniejszego sprawdzenia co publikuje.

Pracownik Adobe, który udostępnił tajny klucz prawdopodobnie korzystał z aplikacji Maivelope (fot. Ars Technica)

Ta wpadka może mieć bardzo poważne konsekwencje. Teoretycznie ujawniony przez przypadek klucz prywatny, może zostać wykorzystany do odszyfrowania starszych wiadomości. Jeśli inżynierowie Adobe wysyłali informacje dotyczące niezałatanych jeszcze dziur, a ich poczta była podsłuchiwana, przestępcy mogą spróbować wykorzystać niezałatane jeszcze dziury w oprogramowaniu takim jak na przykład Flash. | CHIP