Adobe员工手残：居然把安全密钥公布在了官网

上官123 · 发表于: 2017-9-25 17:35:00

源自：快科技

原文标题：Adobe员工手残：居然把安全密钥公布在了官网

　　每年打补丁最勤勉的，除了Windows操作系统，另一个就要数Adobe了。

gO21-fymesmq8005816.jpg 保存到相册

　　只是Flash Player宣告在2020年退役，Adobe安全团队的员工似乎是可以松口气了。
　　然而，一个糟糕的失误再次让Adobe成为众矢之的。

qR8w-fymesmq8005818.jpg 保存到相册

Rp_o-fymesmq8005820.jpg 保存到相册

ARCU-fymesmq8005822.jpg 保存到相册

　　Adobe的产品安全事故应急小组居然在官方博客上公布了PGP密钥，PGP即（Pretty Good Privacy），是斯诺登门事件发生后，Adobe用于通讯协议的一种加密手段。
　　它通常用于Adobe的弹窗消息、官方邮件等，如今被堂而皇之的暴露在网上，令业界极为恐慌。
　　虽然只是一些元数据，但对于有经验的黑客来说，将被伪装成攻击机构、个人的官方邮件甚至消息通知，造成大规模的破坏。
　　最先发现的研究员称，这条博客已经被删除，但网友发现，谷歌的网页快照依然可以看到完整副本。

Yp-8-fymesmp1242998.jpg 保存到相册

红英 · 发表于: 2017-9-25 17:35:00

源自：cnbeta

　　据外媒报道，今年7月，Adobe没能逃过在正式发布之前不小心对Creative Cloud用户开放了Project Nimbus Preview事件所带来的影响。现在，看起来这家公司的内部安全团队也要因为某些人为因素走到聚光灯下。
　　据了解，日前，Adobe产品安全事件响应团队（PSIRT）在发布了PGP公共密匙还把私人密匙也公布了出来，这意味着该PGP签名不再安全，获得密匙的人则能借此盗取邮箱的通信内容。
　　安全研究员Juho Nurminen确认曝光的密匙跟psirt@adobe.com邮箱账号存在关联。

duSy-fymesmp1235740.png 保存到相册

　　种种迹象表明，此次的意外事件应该跟团队成员的失误有关，当时他应该是通过Chrome或Firefox插件Mailvelope将FSIRT共享网页邮件账号的文本文件分享到团队的博客上。看起来该名成员将本应该点击的“公共（public）”点成了“所有（all）”，于是，公共密匙和私人密匙都被发布到了Adobe的PSIRT博客上。

dkYR-fymesii5268706.png 保存到相册

SgLa-fymesmq7998494.png 保存到相册

Ijpx-fymesmp1235742.png 保存到相册

　　然而尽管这似乎是人为错误，但私人密匙的泄露仍旧呈现了一个相当严重的问题。
　　目前，Adobe已经移除了这组曝光的密匙并更换了一个新的公共密匙。

帐号		自动登录	找回密码
密码			免费注册

[软件] Adobe员工手残：居然把安全密钥公布在了官网

Adobe产品安全团队不慎将PGP私钥公布到网上