Az Adobe biztonsági csapatának weboldalára került ki rövid időre a vállalat biztonsági csapatának privát PGP kulcsa. A világ biztonsági szakemberei azóta is az eseten derülnek.

A hétvége előtt, pénteken került ki az Adobe termékbiztonsági csapatának hivatalos blogjára a vállalat által használt privát PGP kulcs. A hibára hamar rájöttek, és visszavonták a blogbejegyzést, de már késő volt, az élelmes internetezők képernyőmentéseket készítettek a kulcsról, mely azóta több helyen is fellelhető az interneten. Az eredeti blogbejegyzés archivált változata is megtalálható a neten.

A Pretty Good Privacy – PGP egy olyan nyílt forráskódú biztonsági rendszer, mely lehetővé teszi a felhasználóknak, hogy titkosított email üzeneteket küldhessenek egymásnak, ezzel is biztonságosabbá téve a kétoldali kommunikációt. Az emaileket egy nyilvános kulccsal titkosítja a küldő, az üzenet fogadója viszont privát kulcs segítségével képes megfejteni az üzenetet. Ez a garancia arra, hogy csak az üzenet fogadója képes elolvasni a neki szánt levelet. Még ha az üzenetet valaki menet közben el is fogja, azt nem tudja értelmezni, mert nem ismeri a privát PGP kulcsot. Ha valaki titkosított email szeretne kapni, akkor nyilvános PGP kulcsát megosztja a többiekkel, viszont a privát PGP kulcsokat titokban szokták tartani.

A termékek biztonságával foglalkozó csapat azóta javította a hibát, és egy új blogbejegyzésben csak a nyilvános PGP kulcsot osztotta meg a nagyvilággal. Az incidens azt jelenti, hogy rövid ideig mindenki el tudta volna olvasni a psirt@adobe.com email címre küldött üzeneteket, már, ha azokat valahogy elfogta volna.

Szakértők szerint hibás exportálás miatt történhetett mindez. Miután az Adobe munkatársa mindkét PGP kulcsot exportálta, egy rövid bejegyzésben mindkettőt posztolta – vagyis nem ellenőrizte, mit is oszt meg a nagyvilággal.