Adobes Sicherheitsteam veröffentlicht privaten PGP-Schlüssel

Ausgerechnet das Sicherheitsteam von Adobe hat seinen privaten PGP-Schlüssel öffentlich gemacht – und das auch noch im offiziellen Sicherheitsblog des Unternehmens. Das gefährdete die Kommunikation mit externen Sicherheitsforschern, die oft vertraulich von ihnen entdeckte Sicherheitslücken melden. Darüber hinaus gab sich Adobes Product Security Incident Response Team (PSIRT) durch seinen Fehler selbst der Lächerlichkeit preis.

Das peinliche Versehen, bei dem neben dem öffentlichen zugleich der private Schlüssel veröffentlicht wurde, wäre zudem vielleicht länger unentdeckt geblieben – hätte es ein umsichtiger Sicherheitsforscher nicht frühzeitig gesehen und auf Twitter darauf aufmerksam gemacht. Den Kommentar „Oh shit Adobe“ konnte sich Juho Nurminen von der finnischen Sicherheitsfirma 2NS (Second Nature Security) allerdings nicht ersparen. Nurminen arbeitet als Penetrationstester und wurde auf die Veröffentlichung des privaten Schlüssels aufmerksam, als er das Sicherheitsteam über eine Schwachstelle in einem Adobe-Produkt informieren wollte.

„Adobe ist das Vorkommnis bekannt und hat den fraglichen PGP-Schlüssel zurückgezogen“, heißt es in einer Stellungnahme des Softwareherstellers. „Ein neuer öffentlicher und privater Schlüssel wurden ausgegeben. Der fragliche PGP-Schlüssel wurde ausschließlich für E-Mail-Korrespondenz zwischen externen Sicherheitsforschern und dem Adobe-Sicherheitsteam benutzt. Es gab keine Auswirkungen auf Adobes Kunden.“

Es hätte allerdings ernsthafte Konsequenzen geben können, kommentiert der Sicherheitsblogger Graham Cluley. So hätte ein bösartiger Hacker die Gelegenheit nutzen können und mit dem privaten Schlüssel signierte Nachrichten versenden können, die tatsächlich von Adobes Sicherheitsteam zu stammen schienen. Auch wäre es mit dem Schlüssel möglich gewesen, abgefangene Nachrichten zu entschlüsseln, mit denen Sicherheitsforscher über entdeckte Zero-Day-Lücken etwa in Flash Player informierten. Das sei exakt die Art von Informationen, die nicht in die Hände einer Angreifergruppe oder eines Geheimdienstes fallen sollten.

In einem Web-Archiv ist der mitteilsame Blogbeitrag noch immer zu finden. Der private Schlüssel war immerhin durch ein Passwort gesichert, wie es bei Pretty Good Privacy (PGP) üblicherweise der Fall ist. „Wenn das Passwort schwach genug ist, kann man es allerdings mit der Brute-Force-Methode aufdecken“, merkte Nurminen dazu an.

Die versehentliche Veröffentlichung eines privaten Schlüssels kommt tatsächlich immer wieder vor. Auch wenn das in diesem Fall wahrscheinlich folgenlos blieb, hätte die peinliche Panne nicht ausgerechnet den Mitarbeitern eines Unternehmens passieren dürfen, das laufend mit zahlreichen Sicherheitslücken in Flash Player und anderer Software zu kämpfen hat.

[mit Material von Charlie Osborne, ZDNet.com]

WEBINAR

HPE Server der Generation 10 - Die sichersten Industrie-Standard-Server der Welt

Die neuen HPE-Server der Generation 10 bieten einen erweiterten Schutz vor Cyberangriffen. Erfahren Sie in unserem Webinar, warum HPE-Server die sichersten Industrie-Standard-Server der Welt sind und wie Sie ihr Unternehmen zu mehr Agilität verhelfen. Jetzt registrieren und Aufzeichnung ansehen.

Bernd Kling

Recent Posts

Corona befördert das Wachstum von Cloud-Services

Corona hat sowohl die Bedeutung der IT als auch von Public Cloud Services gesteigert. Die…

3 Tagen ago

ZTNA versus Remote Access VPN – 6 Vorteile

Remote Access Virtual Private Networks (VPN) haben lange gute Dienste geleistet, aber der Trend zum…

3 Tagen ago

AWS nutzt Fedora Linux für sein cloudbasiertes Amazon Linux

Ziel ist die Integration von Red Hat Enterprise Linux. Das Betriebssystem ist für Amazon EC2…

3 Tagen ago

So setzen Ransomware-Verbrecher ihre Opfer unter Druck

Ransomware-Angreifer setzen eine breite Palette von rücksichtslosen Druckmitteln ein, um die Opfer zur Zahlung des…

3 Tagen ago

Kubernetes gegen Ransomware

Container sind mittlerweile nicht mehr vor Attacken gefeit. Veritas verrät sechs Tipps, um Kubernetes-Daten vor…

3 Tagen ago

Storage-Tiering – ein obsoletes Paradigma

Das traditionelle Tiering von Speicherinfrastruktur in verschiedene Klassen je nach Alter der Daten und Zugriffswahrscheinlichkeit…

3 Tagen ago