据外媒报道,Adobe 产品安全事件响应团队(PSIRT)日前在发布 PGP 公共密匙后还把私人密匙公布出来,这意味着该 PGP 签名不再安全,获得密匙的黑客则能借此盗取邮箱通信内容。安全研究员 Juho Nurminen 经调查确认表示,曝光的密匙跟 psirt@adobe.com 邮箱账号存在关联。
种种迹象表明,此次的意外事件应该跟团队成员的失误有关,当时他应该是通过 Chrome 或 Firefox 插件 Mailvelope 将 FSIRT 共享网页邮件账号的文本文件分享到团队的博客上。看起来该名成员将本应该点击的 “公共(public)”点成了 “所有(all)”,于是,公共密匙和私人密匙都被发布到了 Adobe 的 PSIRT 博客上。
然而,尽管这似乎是人为错误,但私人密匙的泄露仍旧呈现了一个相当严重的问题。目前,Adobe 已经移除了这组曝光的密匙并更换了一个新的公共密匙。
稿源:cnBeta,封面源自网络;
