Adobe ทำ Private PGP Key รั่วผ่านทีม PSIRT

Juho Nurminen นักวิจัยด้านความมั่นคงปลอดภัยได้ออกมาเปิดเผยถึงการค้นพบ Private Key PGP ของ Adobe ที่ปรากฎอยู่ในบล็อกของทีม Adobe Product Security Incident Response (PSIRT)

Credit: ShutterStock.com

 

Adobe นั้นได้ทำการสร้าง Key ชุดใหม่ขึ้นมาหวังว่าจะใช้แทน Key ชุดเก่าของปีที่แล้วซึ่งหมดอายุไปแล้ว และเตรียมเผยแพร่ทาง PSIRT Blog แต่พลาดเผยแพร่ออกมาทั้ง Public Key และ Private Key พร้อมๆ กันในครั้งนี้ อย่างไรก็ดี Private Key ที่หลุดออกมาครั้งนี้ก็ได้ถูกเข้ารหัสเอาไว้ด้วย Passphrase อยู่ ทำให้ตัว Key นั้นไม่ได้ถูกเข้าถึงตรงๆ แต่อย่างไรก็ดี เหล่าผู้เชี่ยวชาญด้านความปลอดภัยแนะนำว่าไม่ควรใช้งาน Key ชุดที่หลุดออกมานี้เด็ดขาด

ปัจจุบันทาง Adobe สั่ง Revoke Key ชุดนี้ไปเรียบร้อยแล้ว

ก็ถือเป็นบทเรียนครับว่าการ Copy ข้อความใดๆ ควรทำด้วยความระมัดระวัง ไม่เช่นนั้นกุญแจเข้ารหัสที่ใช้งานอยู่อาจหลุดรั่วออกมาแบบนี้ได้ และการรักษา Private Key เอาไว้ให้ปลอดภัยนั้นก็นับเป็นภารกิจที่สำคัญเป็นอย่างมากสำหรับองค์กรและเหล่าผู้ใช้งานที่เกี่ยวข้องทุกคน

 

ที่มา: https://www.theregister.co.uk/2017/09/22/oh_dear_adobe_security_blog_leaks_private_key_info/https://nakedsecurity.sophos.com/2017/09/23/adobe-security-team-posts-public-key-together-with-private-key/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก

“บทบาทของ Digital CFO เพื่อก้าวข้ามกระแสพลวัตโลก” How Digital Transformation Enables CFOs to Achieve Organizational Agility and Resilience …

นักวิจัยสาธิตการแฮ็กเซิร์ฟเวอร์ Oracle เพื่อแสดงให้เห็นถึงช่องโหว่ที่ร้ายแรง

สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle …