Portada
Hace 6 años | Por ccguy a arstechnica.com
Publicado hace 6 años por ccguy a arstechnica.com
Pifia monumental: El equipo de seguridad de Adobe publica su clave privada PGP [ENG]

Pifia monumental: El equipo de seguridad de Adobe publica su clave privada PGP [ENG]

 arstechnica.com

Tener algo de transparencia sobre los problemas de seguridad con el software es fantástico, pero el Equipo de respuesta a incidentes de seguridad de productos (PSIRT) de Adobe ha llevado esa transparencia demasiado lejos hoy cuando un miembro del equipo ha publicado las claves PGP para la cuenta de correo electrónico de PSIRT, tanto las claves públicas como las privadas. Desde entonces se han retirado las llaves y se ha colocado una nueva clave pública en su lugar.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 1.6k 23

Comentarios

D

Esto es transparencia y lo demás son tonterías

V 7
K 82
D

Bueno, solo tienen mi nombre y los datos de mi tarjeta de crédito.
Cuando los hackers vean mi historial de crédito seguro me ponen plata de lástima

V 7
K 68
Libertual
editado

Algo parecido me ha pasado a mi hoy...
Esta mañana estaba refactorizando una aplicación y me he dado cuenta que había cambiado el nombre al fichero de configuración donde guardo la clave privada y no actualicé el fichero .gitignore y por supuesto he hecho ya varios push 😱 , con lo que he tenido expuesta mi clave privada durante varias semanas...

Vamos que la he liao parda.


wall

V 5
K 46
prejudice

#9 supongo que tendrás que deshacer el repositorio y hacer uno nuevo, ya que cualquiera podría recuperar tu clave privada si está en algún commit

V 2
K 26
Libertual

#17 No, he cambiado la clave privada. Solo la utilizaba en el servicio de autenticacion de usuarios. He caducado todos los tokens y se renovarán por nuevos. Por suerte todavía no está en producción.
Lo que haré será cambiar los ficheros de configuración por variables de entorno, parece un poco más seguro.

V 0
K 10
D
editado

#12 Yo no he dicho nada sobre eso. Mi frase tiene la forma verbal en presente, el que desarrolla Flash actualmente, y si mi memoria no me falla, desde hace más de una década cuando compró Macromedia es Adobe, así que los problemas de seguridad que tiene son su responsabilidad y por extensión de su equipo de seguridad desde hace bastante tiempo.

V 6
K 45
D
editado

Es el equipo de seguridad de Adobe, esos que desarrollan Flash (por poco tiempo más por suerte) y Acrobat, no es que se pueda decir que su historial en temas de seguridad sea precisamente intachable, esto solo lo confirma.

V 4
K 38
D

#2 flash no lo desarrolló adobe, sino Macromedia

V 4
K 13
jm22381

Oigo risas de Steve Jobs desde su tumba...

V 2
K 38
n

#4 Si, seguro que se rie desde su tumba tomandose un yogurt macrobiotico, mientras Flash sigue vivo 10 años despues, seguro que si lol lol

V 5
K 25
jm22381

#19 Flash es un muerto viviente al que van a enterrar porque ya huele... Adobe abandonará Flash a fines del 2020 (eng)

Hace 6 años | Por --513049-- a blogs.adobe.com
Publicado hace 6 años por --513049-- a blogs.adobe.com

Adobe abandonará Flash a fines del 2020 (eng)

 blogs.adobe.com

V 0
K 17
u

Era mi primerito día!!!

V 2
K 21
D

Es agradable descubrir que no soy el único que la caga en su trabajo

V 2
K 21
analphabet

No es para tanto, revoke y clave nueva.

V 1
K 17
Candidatas
18
meneos
tecnología Xiaomi prepara un nuevo motor eléctrico con más potencia y un 98% de eficiencia
26
meneos
tecnología Burgos tendrá la primera calle del mundo hormigonada con residuos de los molinos de viento
44
meneos
tecnología Policía quiere eliminar la comunicación cifrada de extremo
16
meneos
tecnología Escándalo en la Industria Tecnológica: Super Micro acusada de vender GPUs prohibidas a China
11
meneos
tecnología Dentro de los cartuchos de Super Nintendo [ENG]
11
meneos
tecnología Tecnoestrés, fatiga informática y el derecho a la desconexión digital en el ámbito laboral
18
meneos
tecnología musicForProgramming ();
15
meneos
tecnología El proyecto Alia, el 'ChatGPT español' que entrena el Gobierno: "La calidad de las respuestas va a ser mucho mejor"
11
meneos
tecnología Estados Unidos ha librado una batalla aérea con aviones con IA. Es una nueva revolución militar
8
meneos
tecnología Los trucos de los hackers de Super Mario podrían proteger el software de errores, según un estudio (eng)
10
meneos
tecnología Norcoreanos trabajaron en secreto en series animadas de Amazon y Max, como 'Invencible'
10
meneos
tecnología Jugadores ponen a «alquilar» sus GPU para generar porno con IA a cambio de skins de Fortnite
9
meneos
tecnología PROSOLAR BIRDS, El original invento desarrollado en España para proteger los paneles solares de los excrementos de los pájaros
25
meneos
tecnología Desarrollan en Japón inteligencia artificial que predice las renuncias de los empleados
7
meneos
tecnología Netflix es acusada de manipular imágenes en uno de sus documentales de true crime, en lo que supone romper una nueva barrera ética para la IA
6
meneos
tecnología Mi experiencia con Nintendo Switch en 7 años
6
meneos
tecnología Un estudio confirma que a ChatGPT se le da bien hackear
11
meneos
tecnología Cápsula del tiempo: El clipart de principios de los 90 capturó una época (ENG)
9
meneos
tecnología Elon Musk comenzará a cobrar a todos los nuevos usuarios de X, antes Twitter, por publicar en la red social
analphabet

#21 Ya, en el mejor de los casos, pero eso no quita que en los servidores de quien controla el dominio desde donde se manda el correo y en los servidores de quien lo recibe el correo suele estar almacenado en un formato legible.

V 1
K 13
t

Si fue generada el 18 de septiembre, no será muy importante no?
Vale que es una cagada, pero creo que no es grave (corregidme si me equivoco)

V 1
K 12
MétodoCientífico

#6 Aunque el hecho de que sea del equipo de seguridad lo convierte en una buena anécdota, dudo mucho que sea un problema demasiado grave, aunque sin información es difícil saber. Quizás lo sea más por la imagen que da que otra cosa. Etiquetar este error de "Pifia monumental", en mi opinión solo refleja lo rápida y exageradamente que hablamos de los errores de los demás cuando la verdad es que todos nos equivocamos en un momento u otro y por mucha atención que prestemos. Con el ordenador es muy fácil equivocarse y que el error tenga perversas consecuencias.

V 4
K 26
analphabet
editado

#10 Entiendo que es la clave con la que esperan recibir comunicaciones sobre vulnerabilidades en el PSIRT. Es decir, que si tu descubres una vulnerabilidad te comunicas con ellos usando la clave pública y nadie en el camino puede romper el secreto de las comunicaciones.

Es una pifia porque a alguien de seguridad se le presupone que entiende el modelo de clave publica-privada lo suficiente como para no publicar la clave privada.

Pero vamos no va más allá, la clave se revoca, se genera una nueva y a correr. Como muchísimo lo que podría ocurrir es que alguien haya interceptado algún correo previamente de alguna vulnerabilidad que aún no se ha corregido, y ahora podría leer el texto cifrado y hacer uso de ella hasta que se corrija.

V 1
K 17
Luigi003

#15 Las conexiones de mail suelen ir cifradas con StartTLS así que aparte de usar la clave de adobe también deberían haber roto el túnel TLS o un downgrade

Estoy con #10 , es una buena anécdota, eso es todo. Estoy seguro que saben de sobra para que es una par de claves pública/privada, si no lo supieran no usarían PGP. Pero a todos nos puede pasar filtrar información por error en una captura de pantalla(a mi me ha pasado)

V 0
K 6
eldarel

¿Pifia o honeypot?

V 0
K 7
HimiTsü

tinfoil

V 0
K 7
LeDYoM

A todos os sale la publicidad de Adobe en el anuncio de esta noticia?
Es la manera que tiene google ads de hacer:
Usuarios de Adblocks: Sí, ya sabemos que a vosotros no.

V 1
K -10
Jakeukalane

#7

V 1
K 31