Adobe ürün güvenlik olayı tepki ekibi (Product Security Incident Response Team, PSIRT) yanlışlıkla şirket blogunda özel bir PGP anahtarı yayınladı; sorun hemen keşfedildi ve sertifika çabucak iptal edildi.
Cuma günü, Adobe PSIRT ekibi Pretty Good Privacy (PGP) anahtarını güncelledi ve blogunda yeni genel anahtarını yayınladı. Yeni anahtar Eylül 2018’e kadar geçerli olacaktı, ancak garip bir şey oldu. Güvenlik uzmanı Juho Nurminen, blog yazısında hem genel hem de özel PGP anahtarlarının olduğunu keşfetti.
Normalde genel anahtar kamu ile paylaşılır özel anahtar kişi/şirket tarafından saklanması gerekir. Bir PKI altyapısında, alıcıya gönderilecek mesajlar, genel anahtarla şifrelenir ve alıcı ilişkili özel PGP anahtarını kullanarak şifrelenmiş mesajı açar ve onu okuyabilir. Ama Adobe sadece kendisinde olması gereken özel anahtarını da paylaşmıştı.
Oh shit Adobe pic.twitter.com/7rDL3LWVVz
— Juho Nurminen (@jupenur) September 22, 2017
Özel anahtarın yanlışlıkla ifşa edilmesi, herkesin şirket tarafından gönderilen şifreli e-posta mesajlarının şifresinin çözmesine izin vermektedir.
Adobe PGP anahtarını OpenPGP için popüler bir açık kaynak tarayıcı eklentisi olan Mailvelope kullanılarak oluşturulmaktadır.
Mailvelope, kullanıcıların genel anahtar, özel anahtar veya her ikisini de dışa aktarmasına izin vermektedir. Eğer bir kullanıcı “All” seçeneğini işaretlediğinde eklenti tüm anahtarları dışarı aktarımına izin vermektedir. Genel PGP anahtarını dışa aktarılan Adobe çalışanı büyük olasılıkla “All” seçeneğini de seçti ve oluşturulan veriyi, özel PGP anahtarını da paylaştığını fark etmeden kopyaladı.
Olay farkedilir farkedilmez, Adobe derhal blog gönderisini kaldırdı ve paylaşılan özel anahtarı iptal etti, ancak çok geçti çünkü postanın çevrimiçi kopyasını bulmak hala mümkündü.
Adobe, bu sefer Mailvelope yerine GPGTools kullanarak yeni bir anahtar çifti oluşturdu ve sadece genel anahtarları paylaştı.