Beveiligingsteam van Adobe publiceert per ongeluk persoonlijke PGP-sleutel

Een medewerker van het beveiligingsteam van Adobe heeft per ongeluk op de blogpagina van het bedrijf zowel de publieke als de persoonlijke PGP-sleutel van de e-mailaccount van het team gepubliceerd. De sleutel is inmiddels weer verwijderd.

De per ongeluk gepubliceerde sleutel werd ontdekt door programmeur Juho Nurminen, die er melding van maakte op zijn Twitter-pagina. Bij het bericht heeft hij enkele screenshots geplaatst, die aantonen dat het inderdaad om een persoonlijke sleutel gaat die behoort tot het e-mailadres van het Adobe-beveiligingsteam.

ArsTechnica speculeert dat een medewerker bij het exporteren van de sleutel per ongeluk op 'all' geklikt heeft, in plaats van 'public', wat ervoor zorgde dat zowel de publieke als de persoonlijke sleutel werden geëxporteerd. Vervolgens zou hij zonder deze fout doorgehad te hebben de beide sleutels in de blogpost geplakt hebben.

PGP, wat staat voor Pretty Good Privacy, is een encryptiemethode die zich kenmerkt door de bijzonder lange sleutels die gebruikt worden, wat door sommige mensen als onhandig wordt beschouwd. Adobe heeft inmiddels de blogpost verwijderd en een nieuwe blogpost aangemaakt waarin alleen de publieke sleutel te zien is.

Adobe PGP-sleutelAdobe PGP-sleutelAdobe PGP-sleutel

Door Emile Witteman

Nieuwsposter

Feedback • 24-09-2017 11:14
51 • submitter: the_shadow

24-09-2017 • 11:14

51

Submitter: the_shadow

Lees meer

Onderzoekers: stop direct met gebruik pgp vanwege lekken - update
Onderzoekers: stop direct met gebruik pgp vanwege lekken - update Nieuws van 14 mei 2018
PGP-bedenker Phil Zimmermann spreekt op Nederlands hackercamp SHA2017
PGP-bedenker Phil Zimmermann spreekt op Nederlands hackercamp SHA2017 .Geek van 15 juni 2017
Politie ontsleutelt 3,6 miljoen BlackBerry PGP-berichten - update 2
Politie ontsleutelt 3,6 miljoen BlackBerry PGP-berichten - update 2 Nieuws van 9 maart 2017
NFI ontsleutelt BlackBerry PGP-mails in het kader van gerechtelijk onderzoek
NFI ontsleutelt BlackBerry PGP-mails in het kader van gerechtelijk onderzoek Nieuws van 22 december 2015
Meer producten en artikelen
Netwerk en systeembeheer Adobe Pgp

Reacties (51)

-Moderatie-faq
51
43
33
3
0
3
Wijzig sortering
Soldaatje 24 september 2017 11:41
De sleutel is inmiddels ingettrokken: https://pgp.surfnet.nl/pk...T&fingerprint=on&op=index
En er zat een wachtwoord op, dus er zal niet snel iets mee gebeurd kunnen zijn.
Overigens is de tweede blogpost inmiddels ook verwijderd.

[Reactie gewijzigd door Soldaatje op 23 juli 2024 09:28]

Auteurfaraga @Soldaatje24 september 2017 11:56
Tweede blogpost is niet verwijderd, ik had gewoon per ongeluk het linkje van de oude post daar geplakt (zo zie je maar hoe makkelijk dergelijke fouten gemaakt worden :P ). Nu klopt hij wel.

[Reactie gewijzigd door faraga op 23 juli 2024 09:28]

Navi 24 september 2017 11:17
Foutje kan gebeuren, zolang ze ze ook een nieuwe key genereren en zorgen dat de oude nergens meer werkt is er niets aan de hand.

Wel hopen dat er niet ondertussen al misbruik van is gemaakt voor het duidelijk was..
Clemens123 @Navi24 september 2017 11:31
Zelfs al heb je de sleutels is het niet simpel het niet versleutelde mailverkeer ook te onderscheppen
jerrycan92 @Clemens12324 september 2017 11:39
Het gaat niet om het wel of niet onderscheppen van een mail. Met je private key maak je duidelijk dat de mail door jou team gemaakt is. Met deze private key kun je doen alsof je een mail van Adobe hebt gehad die gecontroleerd kan worden aan de hand van de signature.
Oogappel @jerrycan9225 september 2017 11:47
Ben je daar zeker van ? Ik meen dat de PGP mails voor elke sessie een nieuwe sleutel aanmaken, dus je zou de log van de communicatie van de sessiesleutels moeten faken, als je een bewijs wilt hebben. En als je die hebt (NSA bijvoorbeeld ?), kan je ook alle communicatie uit het verleden ontcijferen.

Maar het hele issue in dit verhaal is nog niet aan bod gekomen. Het ging om een (nogal) nieuw sleutelpaar en het was de bedoeling het publieke gedeelte te publiceren.
Waarom moet bij PGP nog "ambachtelijk" publieke sleutels uitgewisseld worden via blogposts., of is dit vooral om zich op zijn borst te kunnen kloppen : "Zie eens hoe veilig wij communiceren ?".
Dit soort fouten kan met WhatsApp bvb niet voorkomen. En voor PGP bestaan daar blijkbaar ook servers voor.
jerrycan92 @Oogappel25 september 2017 15:18
Wanneer je een mail versleuteld is jouw private en de ander zijn public key nodig.
Wanneer je een mail signeert is enkel je eigen private key nodig.

Om een bericht na te maken van Adobe heb je dus voldoende aan de private key, als je die wilt versleutelen kun je de ander zijn public key gebruiken.

Er worden bij mails met deze vorm van PGP geen eenmalige sleutels onderhandeld. Bij een HTTPS sessie gebeurt dat juist wel.

Daarom is met het uitlekken van de private key niet langer met zekerheid te zeggen dat een bericht ondertekent of versleuteld met deze private key daadwerkelijk door Adobe is gemaakt. Tenzij een wel vertrouwd certificaat aangeeft dat dit voor het uitlekken gemaakt is.
FvdM @Navi24 september 2017 16:15
Foutje kan gebeuren
Niet dit foutje:
- security team
- public front (blog)
- public + private key tekst is veel langer dan alleen de public key > valt direct op bij copy paste en zeker bij posten
- In de tekst staan duidelijk de boundaries, niet te missen:
-----END PGP PUBLIC KEY BLOCK-----

-----BEGIN PGP PRIVATE KEY BLOCK-----
Dit ‘foutje’ is wel heel erg slordig voor een security medewerker of een doelbewust actie.
2green @FvdM24 september 2017 16:26
Kom nou, dit foutje is wel slordig maar kan zo gebeuren hoor. Iemand die geen fouten maakt, doet (bijna) niets.

Ondanks dat 1 persoon makkelijk zo'n fout kan maken, hadden ze op dergelijk hoog impact werk wel een collegiage review of andere afvang methode mogen toepassen. Wat mij betreft een fout werkprocedure en niet een slechte werknemer.
FvdM @2green24 september 2017 16:50
Kom nou, dit foutje is wel slordig maar kan zo gebeuren hoor.
Het genoemde team draait volledig om het reageren op veiligheidssituaties. Elke werknemer daar is zich vol bewust van de risico’s en de gevolgen; dit is geen gewone helpdesk waar wel eens iets mis kan gaan. Als security medewerker kan je niet gewoon willekeurig iets aanklikken en dat vervolgens het internet op gooien zonder het doen van enige controle of inzicht in dat gene dat je publiceert. Het is n.b. pas offline gehaald na een externe melding!

Plus dat er inderdaad ook geen vorm van redactie lijkt te zijn die moet voorkomen dat informatie uitlekt, maakt het in mijn ogen een erg onbekwaam ‘security’ team.
Iemand die geen fouten maakt, doet (bijna) niets.
Fouten maken hoeft inderdaad niet altijd erg te zijn, maar zorg wel dat je ze binnen het team houdt. Zodra het op een of andere manier buiten of zelfs in het publieke domein terecht komt dan is dat in de security sector een keiharde faal, met name van de leidingevenden.
2green @FvdM24 september 2017 17:01
Weet niet of je mij nu aanvult of wilt corrigeren, maar je noemt niets wat ik tegenspreek. En inderdaad er moeten procedures zijn om hoog impact fouten binnen je team/project/organisatie/keten te houden.
Houtenklaas @2green24 september 2017 20:17
Het "4-ogen" principe zou geen kwaad kunnen, in security gevallen mag dat wellicht zelfs "6-ogen" zijn. En dat is niet voor niets ...
FvdM @2green24 september 2017 22:54
Weet niet of je mij nu aanvult of wilt corrigeren, maar je noemt niets wat ik tegenspreek.
Je reactie kwam op mij over alsof je de situatie bagatelliseert. Als ik dat verkeerd heb ingeschat, excuses.
2green @FvdM25 september 2017 07:57
Las zojuist mijn reactie terug en snap waarom dat zo overkomt. Ik ging inderdaad alleen maar in op het feit dat een werknemer snel zo'n foutje kan maken. Fijn dat je zo prettig reageert.
MMaster23 @FvdM24 september 2017 23:34
binnen het team houdt
Het weerhouden van informatie mbt lekken of andere veiligheidsproblemen mbt publieke interesse is tegenwoordig strafbaar.
FvdM @MMaster2324 september 2017 23:52
Ja inderdaad en terecht.

Ik bedoelde meer dat als een medewerker informatie wil delen en daarmee (per ongeluk) iets uitlekt dat er een eindredactie met inzicht in de materie is die voorkomt dat de ‘fout’ buiten het team een probleem kan worden. Een private key posten op een interne site is minder shocking dan op een publiek blog. Maar van een willekeurige medewerker die wellicht heel erg goed is in zijn/haar werk mag je niet verwachten dat diegene ook verstand heeft van publieke uitingen. Daar moet een (eind)redactie voor gaan staan.
seba @2green25 september 2017 09:58
Het is inderdaad een foute werkprocedure, maar het is wel net dat team dat deze procedures moet opzetten.
t link @FvdM25 september 2017 13:01
Als de sleutels zo onder elkaar staan tijdens het copy en pasten zie ik best voor me hoe zoiets perongeluk gemist kan zijn simpelweg door vermoeidheid oid. het is gewoon niet slim die dingen zo dicht bij elkaar te bewaren, dat is hetzelfde als een pistool naast een identieke bbgun leggen, roekeloos.
Verwijderd 24 september 2017 14:11
Sleutels zijn hier in text vorm te vinden:
https://archive.fo/BAq9n
Verwijderd @Verwijderd24 september 2017 14:26
Sleutels zijn aangemaakt op 18 september 2017, zijn dus maar een paar dagen in gebruik geweest.
DePruus 25 september 2017 09:14
Juist dit soort berichten en fouten zetten het veiligheidsprotocol voor allen weer op scherp. Wij leren meer van fouten dan van dingen die goed gaan. Dus deze trigger is nodig.....
supersnathan94 24 september 2017 11:17
Ik mag dan ook aannemen dat ze een set nieuwe sleutels hebben laten aanmaken anders heeft het nog geen zin.
SilentLucidity @xiphoid24 september 2017 11:39
Ik hoorde laats nog een interview met een dame op NPO radio 1 die uit silicon valley kwam. Zij zegt dat het vrijdag middag 4 of 5 uur biertje daar niet aan de orde is, er word altijd doorgewerkt. Of een bedrijf als Adobe dus die instelling heeft betwijfel ik....
DePruus @SilentLucidity25 september 2017 09:12
En is ook gecontroleerd hoe laat ze begonnen zijn? Of hoeveel uren ze afgelopen week gewerkt hebben?
Iblies @SilentLucidity24 september 2017 11:54
Hier ook niet.

Is een mythe dat zijn eigen leven is gaan leiden. Mijn collega's zie ik 5 dagen in de week, en ga niet wachten tot vrijdagmiddag om een keer te praten bij een 'biertje'. Gebeurt tussendoor.
Verwijderd @HDoc24 september 2017 15:12
In sommige sectoren rekent men 32 uur al als fulltime. Al ben ik als gedetacheerde ook wel eens op vrijdag om 17 uur naar buiten gezet omdat de laatste werknemer van de klant vertrok en ik geen sleutel heb en dus ook weg moest.

En aan bier op vrijdagmiddag ga ik echt niet beginnen, mijn rijbewijs is me te lief.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 09:28]

jimzz @Verwijderd24 september 2017 16:24
Ze kunnen het rekenen als full time, maar dat is het gewoon niet. Wil ook best 32 uur werken voor mijn 40urige salaris ;). Maar goed, 5 uur biertje zit er voor mij ook niet in :P ik werk tot in de nacht dus helaas, niet iedereen heeft een tropenrooster, misschien daar bij de npo wel haha.

Maar dit is wel weer een domper zeg voor adobe, de zoveelste domper voor ze. We zullen doen alsof we de hack van een aantal jaar geleden vergeten zijn. Helaas prijkt deze site nog altijd wanneer ik mijn email adres invul op haveibeenpawned.com
En ik zal niet beginnen over het aantal lekken in de flashplayer (die gelukkig op sterven ligt). Jammer
Verwijderd @jimzz24 september 2017 18:38
Mensen in sectoren waar 32 of 36 de norm voor full time is klagen vaak over hun lagere salarissen vergeleken met "het bedrijfsleven". Waar 40 uur dan weer de norm is :-)
Verwijderd @Verwijderd24 september 2017 19:13
40 uur mag de norm zijn, 45 uur is standaard en 50 - 60 uur als het echt druk is. Nou ben ik gedetacheerd dus mijn uren krijg ik toch wel gecompenseerd (op papier).
maltesersnoepie @HDoc24 september 2017 20:38
Niet iedereen begint om 10 uur er zijn ook mensen die om 7:00 beginnen.... Er zijn mensen die liever niet in de file / ov drukte staan en vroeg beginnen en vroeg weggaan.
Boost9898 @Verwijderd24 september 2017 11:27
Want bij Adobe zullen er ook echt mensen aan de knoppen zitten die niet weten wat ze doen, jaja.
Verwijderd @Boost989824 september 2017 15:14
Er stond dat ze iets aangeclickt hebben, dit soort fouten maak je in een GUI veel makkelijker dan met een comamandline.
ExIT @Verwijderd24 september 2017 16:15
Niet per se in mijn opinie. Wat wél helpt is al je je werk niet op automatisch piloot doet én je werk begrijpt. Met kennis van PGP sleutels én de aandacht erbij had dit voorkomen kunnen worden.
seba @Boost989825 september 2017 09:59
Ze hebben anders wel een goede track-record in zake complete incompetentie op security vlak. Zoals deze: https://nakedsecurity.sop...ed-cryptographic-blunder/
xxxneoxxx @Boost989824 september 2017 12:26
Mjah, ik heb ze ook niet echt hoog zitten, met de ene vulnerability in o.a. flash na de andere. Verder:

https://krebsonsecurity.c...t-least-38-million-users/
ExIT @xxxneoxxx24 september 2017 13:41
Zo ontvang ik nog spam door deze blunder van ze: http://www.reuters.com/ar...irm-idUSBRE9A61D220131107

Edit: je had het zelf ook al gelinkt zie ik

[Reactie gewijzigd door ExIT op 23 juli 2024 09:28]

xxxneoxxx @Verwijderd24 september 2017 21:54
Mag ik jouw functie dan vervullen? Je reageert immers als iemand die er werkt en verantwoordelijkheid is voor de 'security'. Ik zeg verder ook nergens dat ik het beter kan hoor. Maar goed, ik werk er dan ook niet. Van zo'n gerennomeerd bedrijf vind ik persoonlijk, als ICT'er, dat je in ieder geval wel beter mag verwachten.

Veel bedrijven blokkeren tegenwoordig Flash omdat het zoveel security leaks en zero days bevat. Er zijn periodes bij geweest dat er zo om de dag een nieuwe versie uit kwam. Bij meerdere hacks liggen enkele miljoenen (juist, MILJOENEN) mailadressen op straat. Niet alleen vanwege slechte beveiliging, maar ook vanwege het ontbreken van schijnbaar enige beveiliging bij opslag van de gegevens.
mg794613 @Boost989824 september 2017 11:31
Sorry. Maar als je in het security team zit en dit doet? Niet alleen de verkeerde knop, nee ook nog zelf beide Keys published. Dat is echt heeeeeeeeeeel erg amateuristisch.
gladius1983 @mg79461324 september 2017 11:51
Achteraf oordelen is natuurlijk heel makkelijk. We weten bijna niks van de persoon die het gedaan heeft. We weten alleen dat hij in het security team zit, dan mag je inderdaad een bepaalde bekwaamheid verwachten. Zaken als persoonlijke omstandigheden, werkdruk etc. kunnen ook een rol spelen.

Ja je hebt gelijk dat het niet mag gebeuren. Het blijft mensenwerk dus fouten worden gemaakt. Dit is een fout dat mogelijk een grote consequentie had kunnen hebben. Ik gooi dit eerder op onoplettendheid dat op amateuristisch werk.
mg794613 @gladius198324 september 2017 12:28
Is inderdaad heel makkelijk. En mensen maken fouten. Maar je bij een partij als Adobe werkt. Daarboven op in het security team, mogen deze fouten echt niet meer gebeuren.

-knip -

Admin-edit:Opmerkingen over moderaties horen thuis in Frontpagemoderatie.

[Reactie gewijzigd door Bor op 23 juli 2024 09:28]

mschol @mg79461324 september 2017 12:40
dit soort fouten gebeuren vast ook op het hoogste beveiligingsniveau van de overheid, dat het niet mag gebeuren ben ik met je eens, maar het gebeurd nou eenmaal want er zitten mensen aan de knoppen; Waar gehakt wordt vallen spaanders
Verwijderd @mg79461324 september 2017 18:40
Jij maakt op jouw vakgebied nooit eens een fout die iemand met jouw vakkennis nooit zou mogen maken? Als je dit beaamt kunnen we alleen maar concluderen dat je nooit wat doet.
downtime @Boost989824 september 2017 12:13
Geloof me... overal werken mensen die niet weten wat ze doen. Ook op plekken waar je het niet verwacht.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq