EDICIóN GENERAL
240 meneos
1588 clics
Pifia monumental: El equipo de seguridad de Adobe publica su clave privada PGP [ENG]

Pifia monumental: El equipo de seguridad de Adobe publica su clave privada PGP [ENG]

Tener algo de transparencia sobre los problemas de seguridad con el software es fantástico, pero el Equipo de respuesta a incidentes de seguridad de productos (PSIRT) de Adobe ha llevado esa transparencia demasiado lejos hoy cuando un miembro del equipo ha publicado las claves PGP para la cuenta de correo electrónico de PSIRT, tanto las claves públicas como las privadas. Desde entonces se han retirado las llaves y se ha colocado una nueva clave pública en su lugar.

| etiquetas: adobe , pifia , seguridad , pgp , clave privada
Es el equipo de seguridad de Adobe, esos que desarrollan Flash (por poco tiempo más por suerte) y Acrobat, no es que se pueda decir que su historial en temas de seguridad sea precisamente intachable, esto solo lo confirma.
#2 flash no lo desarrolló adobe, sino Macromedia
#12 Yo no he dicho nada sobre eso. Mi frase tiene la forma verbal en presente, el que desarrolla Flash actualmente, y si mi memoria no me falla, desde hace más de una década cuando compró Macromedia es Adobe, así que los problemas de seguridad que tiene son su responsabilidad y por extensión de su equipo de seguridad desde hace bastante tiempo.
Bueno, solo tienen mi nombre y los datos de mi tarjeta de crédito.
Cuando los hackers vean mi historial de crédito seguro me ponen plata de lástima
Oigo risas de Steve Jobs desde su tumba...
#4 Si, seguro que se rie desde su tumba tomandose un yogurt macrobiotico, mientras Flash sigue vivo 10 años despues, seguro que si xD xD
#19 Flash es un muerto viviente al que van a enterrar porque ya huele... www.meneame.net/story/adobe-abandonara-flash-fines-2020-eng
Esto es transparencia y lo demás son tonterías :troll:
Si fue generada el 18 de septiembre, no será muy importante no?
Vale que es una cagada, pero creo que no es grave (corregidme si me equivoco)
#6 Aunque el hecho de que sea del equipo de seguridad lo convierte en una buena anécdota, dudo mucho que sea un problema demasiado grave, aunque sin información es difícil saber. Quizás lo sea más por la imagen que da que otra cosa. Etiquetar este error de "Pifia monumental", en mi opinión solo refleja lo rápida y exageradamente que hablamos de los errores de los demás cuando la verdad es que todos nos equivocamos en un momento u otro y por mucha atención que prestemos. Con el ordenador es muy fácil equivocarse y que el error tenga perversas consecuencias.
#10 Entiendo que es la clave con la que esperan recibir comunicaciones sobre vulnerabilidades en el PSIRT. Es decir, que si tu descubres una vulnerabilidad te comunicas con ellos usando la clave pública y nadie en el camino puede romper el secreto de las comunicaciones.

Es una pifia porque a alguien de seguridad se le presupone que entiende el modelo de clave publica-privada lo suficiente como para no publicar la clave privada.

Pero vamos no va más allá, la clave se revoca, se genera una nueva y a correr. Como muchísimo lo que podría ocurrir es que alguien haya interceptado algún correo previamente de alguna vulnerabilidad que aún no se ha corregido, y ahora podría leer el texto cifrado y hacer uso de ella hasta que se corrija.
#15 Las conexiones de mail suelen ir cifradas con StartTLS así que aparte de usar la clave de adobe también deberían haber roto el túnel TLS o un downgrade

Estoy con #10 , es una buena anécdota, eso es todo. Estoy seguro que saben de sobra para que es una par de claves pública/privada, si no lo supieran no usarían PGP. Pero a todos nos puede pasar filtrar información por error en una captura de pantalla(a mi me ha pasado)
#21 Ya, en el mejor de los casos, pero eso no quita que en los servidores de quien controla el dominio desde donde se manda el correo y en los servidores de quien lo recibe el correo suele estar almacenado en un formato legible.
A todos os sale la publicidad de Adobe en el anuncio de esta noticia?
Es la manera que tiene google ads de hacer: :troll:
Usuarios de Adblocks: Sí, ya sabemos que a vosotros no.
Algo parecido me ha pasado a mi hoy...
Esta mañana estaba refactorizando una aplicación y me he dado cuenta que había cambiado el nombre al fichero de configuración donde guardo la clave privada y no actualicé el fichero .gitignore y por supuesto he hecho ya varios push {0x1f631} , con lo que he tenido expuesta mi clave privada durante varias semanas... :-S

Vamos que la he liao parda. vimeo.com/82408340
:wall:
#9 supongo que tendrás que deshacer el repositorio y hacer uno nuevo, ya que cualquiera podría recuperar tu clave privada si está en algún commit
#17 No, he cambiado la clave privada. Solo la utilizaba en el servicio de autenticacion de usuarios. He caducado todos los tokens y se renovarán por nuevos. Por suerte todavía no está en producción.
Lo que haré será cambiar los ficheros de configuración por variables de entorno, parece un poco más seguro.
Era mi primerito día!!!
Es agradable descubrir que no soy el único que la caga en su trabajo :troll:
No es para tanto, revoke y clave nueva.
¿Pifia o honeypot?
comentarios cerrados

menéame