Abo
  • IT-Karriere:

E-Mail: Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

PGP gilt nicht als übertrieben benutzerfreundlich. Warum, musste jetzt auch Adobe feststellen, als ein Mitarbeiter im Sicherheitsblog des Unternehmens den privaten PGP-Schlüssel des Teams veröffentlichte.

Artikel veröffentlicht am ,
Adobe hat seine privaten PGP-Schlüssel veröffentlicht.
Adobe hat seine privaten PGP-Schlüssel veröffentlicht. (Bild: Screenshot Golem.de)

Einem Mitarbeiter von Adobe ist ein peinlicher Fehler unterlaufen: Auf dem Blog von Adobes Product Security Incident Response Team (Psirt) waren zwischenzeitlich sowohl der öffentliche als auch der private PGP-Schlüssel für den E-Mail-Account des Teams einsehbar. Zuerst hat der Hacker Juho Nurminen auf den Fehler aufmerksam gemacht.

Stellenmarkt
  1. Wilhelm Geiger GmbH & Co. KG, Oberstdorf, Herzmanns
  2. OEDIV KG, Bielefeld

Die Kombination aus öffentlichem und privatem Schlüssel wurde mit dem Browser-Plugin Mailvelope exportiert. Es ist etwas erstaunlich, dass dieses Programm im professionellen Umfeld eingesetzt wird, da es im Zusammenspiel mit Firefox dokumentierte Sicherheitslücken gibt. Ein neuer Schlüssel mit der ID 0x15ACC7EF wurde mit GPG Tools erstellt.

Der versehentlich veröffentlichte Schlüssel für psirt@adobe.com wurde mittlerweile zurückgezogen. Im Googles Cache ist der entsprechende Blogeintrag mit dem privaten Schlüssel nach wie vor auffindbar. Adobe selbst hat sich zum dem Vorgang bislang nicht geäußert.

Peinlicher Fehler, vermutlich geringe Auswirkungen

Der Vorgang dürfte für Adobe vor allem peinlich sein. Sollte es mit Hilfe des alten Schlüssels gelingen, früher abgefangene Nachrichten zu entschlüsseln, dürfte der Mehrwert gering sein, zumal der Schlüssel erst vor wenigen Tagen generiert wurde und daher nicht lange im Einsatz war. Adobes Produkte wie Flash glänzen zudem zwar nicht durch übertrieben gute Sicherheit, werden aber immerhin regelmäßig gepatcht.

Adobe ist mit dem Fehler auch nicht allein. Immer wieder finden sich private Schlüssel an Stellen, wo sie nicht hingehören. Etwa auf Webservern, auf Embedded-Geräten, oder Code-Signing-Schlüssel auf D-Link-Geräten.



Anzeige
Spiele-Angebote
  1. 4,99€
  2. (-72%) 16,99€
  3. 4,99€

Hilary Glaps 06. Okt 2017

wenn man im Alltag sieht wie ADOBE mit Datensicherheit und Datenschutz umgeht, wundert es...

Hilary Glaps 26. Sep 2017

Adobe hat seit langem merkwürdige Einstellungen zur Datensicherheit, Datenschutz und...

redwolf 25. Sep 2017

Nur echt mit ROT13

EWCH 24. Sep 2017

##### !!! WARNING WARNING WARNING !!! ##### ### Private key : do NOT export - keep it...

Handle 23. Sep 2017

"[...] zudem der Schlssel erst vor wenigen Tagen generiert wurde [...]" zudem; hier...


Folgen Sie uns
       


Google Nest Hub im Hands on

Ende Mai 2019 bringt Google den Nest Hub auf den deutschen Markt. Es ist das erste smarte Display direkt von Google. Es kann dank Google Assistant mit der Stimme bedient werden und hat zusätzlich einen 7 Zoll großen Touchscreen. Darauf laufen Youtube-Videos auf Zuruf. Der Nest Hub erscheint für 130 Euro.

Google Nest Hub im Hands on Video aufrufen
Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung
  2. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  3. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS

IT-Forensikerin: Beweise sichern im Faradayschen Käfig
IT-Forensikerin
Beweise sichern im Faradayschen Käfig

IT-Forensiker bei der Bundeswehr sichern Beweise, wenn Soldaten Dienstvergehen oder gar Straftaten begehen, und sie jagen Viren auf Militärcomputern. Golem.de war zu Gast im Zentrum für Cybersicherheit, das ebenso wie die IT-Wirtschaft um guten Nachwuchs buhlt.
Eine Reportage von Maja Hoock

  1. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
  2. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  3. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht

Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner


      •  /