ทีมความปลอดภัยของ Adobe ทำผิดพลาดอย่างแรง ด้วยการโพสต์ private key ลงบนบล็อก Adobe Product Security Incident Response Team ของบริษัท

ปกติแล้วเวลาสร้างกุญแจ PGP เราจะได้ text file ที่มีคีย์ public/private วางต่อกันอยู่ในไฟล์เดียว คาดว่าทางพนักงานของ Adobe จะโพสต์เฉพาะ public key แต่เลือกคัดลอกข้อความมาทั้งไฟล์ เลยมี private key แถมมาด้วย

โชคดีว่า private key อันนี้ต้องใช้คู่กับ passphrase ทำให้มันไม่สามารถใช้งานได้ลำพัง และตัวมันเองเป็นคีย์ใหม่ที่เพิ่งถูกสร้างขึ้นเพียง 3 วัน (เพื่อใช้แทนคีย์เก่าที่หมดอายุไป) และหลังเกิดเหตุ Adobe ก็ยกเลิกคีย์ตัวนี้แล้ว

หมายเหตุ: สำหรับคนที่ไม่รู้จัก public/private key อ่านรายละเอียดในบทความ Asymmetric Cryptography: แตกต่างแต่เข้าใจกัน

ที่มา - Naked Security

Oh shit Adobe pic.twitter.com/7rDL3LWVVz

— Juho Nurminen (@jupenur) September 22, 2017