Adobes Sicherheitsteam veröffentlicht privaten PGP-Schlüssel

Ausgerechnet das Sicherheitsteam von Adobe hat seinen privaten PGP-Schlüssel öffentlich gemacht – und das auch noch im offiziellen Sicherheitsblog des Unternehmens. Das gefährdete die Kommunikation mit externen Sicherheitsforschern, die oft vertraulich von ihnen entdeckte Sicherheitslücken melden. Darüber hinaus gab sich Adobes Product Security Incident Response Team (PSIRT) durch seinen Fehler selbst der Lächerlichkeit preis.

Das peinliche Versehen, bei dem neben dem öffentlichen zugleich der private Schlüssel veröffentlicht wurde, wäre zudem vielleicht länger unentdeckt geblieben – hätte es ein umsichtiger Sicherheitsforscher nicht frühzeitig gesehen und auf Twitter darauf aufmerksam gemacht. Den Kommentar „Oh shit Adobe“ konnte sich Juho Nurminen von der finnischen Sicherheitsfirma 2NS (Second Nature Security) allerdings nicht ersparen. Nurminen arbeitet als Penetrationstester und wurde auf die Veröffentlichung des privaten Schlüssels aufmerksam, als er das Sicherheitsteam über eine Schwachstelle in einem Adobe-Produkt informieren wollte.

„Adobe ist das Vorkommnis bekannt und hat den fraglichen PGP-Schlüssel zurückgezogen“, heißt es in einer Stellungnahme des Softwareherstellers. „Ein neuer öffentlicher und privater Schlüssel wurden ausgegeben. Der fragliche PGP-Schlüssel wurde ausschließlich für E-Mail-Korrespondenz zwischen externen Sicherheitsforschern und dem Adobe-Sicherheitsteam benutzt. Es gab keine Auswirkungen auf Adobes Kunden.“

Es hätte allerdings ernsthafte Konsequenzen geben können, kommentiert der Sicherheitsblogger Graham Cluley. So hätte ein bösartiger Hacker die Gelegenheit nutzen können und mit dem privaten Schlüssel signierte Nachrichten versenden können, die tatsächlich von Adobes Sicherheitsteam zu stammen schienen. Auch wäre es mit dem Schlüssel möglich gewesen, abgefangene Nachrichten zu entschlüsseln, mit denen Sicherheitsforscher über entdeckte Zero-Day-Lücken etwa in Flash Player informierten. Das sei exakt die Art von Informationen, die nicht in die Hände einer Angreifergruppe oder eines Geheimdienstes fallen sollten.

In einem Web-Archiv ist der mitteilsame Blogbeitrag noch immer zu finden. Der private Schlüssel war immerhin durch ein Passwort gesichert, wie es bei Pretty Good Privacy (PGP) üblicherweise der Fall ist. „Wenn das Passwort schwach genug ist, kann man es allerdings mit der Brute-Force-Methode aufdecken“, merkte Nurminen dazu an.

Die versehentliche Veröffentlichung eines privaten Schlüssels kommt tatsächlich immer wieder vor. Auch wenn das in diesem Fall wahrscheinlich folgenlos blieb, hätte die peinliche Panne nicht ausgerechnet den Mitarbeitern eines Unternehmens passieren dürfen, das laufend mit zahlreichen Sicherheitslücken in Flash Player und anderer Software zu kämpfen hat.

[mit Material von Charlie Osborne, ZDNet.com]