Tags:
Node Thumbnail

ทีมความปลอดภัยของ Adobe ทำผิดพลาดอย่างแรง ด้วยการโพสต์ private key ลงบนบล็อก Adobe Product Security Incident Response Team ของบริษัท

ปกติแล้วเวลาสร้างกุญแจ PGP เราจะได้ text file ที่มีคีย์ public/private วางต่อกันอยู่ในไฟล์เดียว คาดว่าทางพนักงานของ Adobe จะโพสต์เฉพาะ public key แต่เลือกคัดลอกข้อความมาทั้งไฟล์ เลยมี private key แถมมาด้วย

โชคดีว่า private key อันนี้ต้องใช้คู่กับ passphrase ทำให้มันไม่สามารถใช้งานได้ลำพัง และตัวมันเองเป็นคีย์ใหม่ที่เพิ่งถูกสร้างขึ้นเพียง 3 วัน (เพื่อใช้แทนคีย์เก่าที่หมดอายุไป) และหลังเกิดเหตุ Adobe ก็ยกเลิกคีย์ตัวนี้แล้ว

หมายเหตุ: สำหรับคนที่ไม่รู้จัก public/private key อ่านรายละเอียดในบทความ Asymmetric Cryptography: แตกต่างแต่เข้าใจกัน

ที่มา - Naked Security

No Description

Get latest news from Blognone

Comments

By: icez
ContributoriPhoneAndroidRed Hat
on 24 September 2017 - 12:41 #1009464

ประเด็นคือทีมความปลอดภัยเป็นคนโพสเองนี่สิ

By: Hoo
AndroidWindows
on 24 September 2017 - 17:31 #1009480

ถ้า Adobe ปราณี ก็คงแค่โดนหักเงินเดือนค่าออกใบใหม่
ถ้าโหด ก็..ตกงาน..

By: teenigma
AndroidRed HatWindows
on 24 September 2017 - 21:09 #1009499 Reply to:1009480

น่าจะไม่มีค่าใช้จ่ายนะครับ
กรณีนี้เป็น PGP Key ไม่ใช่ SSL Certificate
คิดว่ายกเลิกกุญแจชุดที่หลุดออกมา แล้วสร้างกุญแจชุดใหม่ก็พอครับ

By: KuLiKo
iPhoneWindows PhoneAndroidWindows
on 25 September 2017 - 02:48 #1009527 Reply to:1009499

น่าจะโดนหักในเรื่องของความไม่รอบคอบมากกว่านะครับ