ทีมความปลอดภัยของ Adobe ทำผิดพลาดอย่างแรง ด้วยการโพสต์ private key ลงบนบล็อก Adobe Product Security Incident Response Team ของบริษัท
ปกติแล้วเวลาสร้างกุญแจ PGP เราจะได้ text file ที่มีคีย์ public/private วางต่อกันอยู่ในไฟล์เดียว คาดว่าทางพนักงานของ Adobe จะโพสต์เฉพาะ public key แต่เลือกคัดลอกข้อความมาทั้งไฟล์ เลยมี private key แถมมาด้วย
โชคดีว่า private key อันนี้ต้องใช้คู่กับ passphrase ทำให้มันไม่สามารถใช้งานได้ลำพัง และตัวมันเองเป็นคีย์ใหม่ที่เพิ่งถูกสร้างขึ้นเพียง 3 วัน (เพื่อใช้แทนคีย์เก่าที่หมดอายุไป) และหลังเกิดเหตุ Adobe ก็ยกเลิกคีย์ตัวนี้แล้ว
หมายเหตุ: สำหรับคนที่ไม่รู้จัก public/private key อ่านรายละเอียดในบทความ Asymmetric Cryptography: แตกต่างแต่เข้าใจกัน
ที่มา - Naked Security
Oh shit Adobe pic.twitter.com/7rDL3LWVVz
— Juho Nurminen (@jupenur) September 22, 2017
Comments
ประเด็นคือทีมความปลอดภัยเป็นคนโพสเองนี่สิ
ถ้า Adobe ปราณี ก็คงแค่โดนหักเงินเดือนค่าออกใบใหม่
ถ้าโหด ก็..ตกงาน..
น่าจะไม่มีค่าใช้จ่ายนะครับ
กรณีนี้เป็น PGP Key ไม่ใช่ SSL Certificate
คิดว่ายกเลิกกุญแจชุดที่หลุดออกมา แล้วสร้างกุญแจชุดใหม่ก็พอครับ
น่าจะโดนหักในเรื่องของความไม่รอบคอบมากกว่านะครับ