گروه فناوری _ چند هفته گذشته برای نقض اطلاعات یک کابوس بوده است، بنابراین اخبار خوب: یکی مشکل امنیتی دیگر که به راحتی قابل پیشگیری است، وجود دارد. Ars Technica گزارش داد که تیم امنیتی واکنش به حوادث محصولات Adobe، کلید رمزگذاری خصوصی PGP را که برای رمزگشایی پیامهای کدگذاری شده که با استفاده از کلید عمومی PGP به آنها ارسال میشود، این هفته به طور تصادفی در حساب ایمیل psirt@adobe.com خود منتشر کرد.
به گزارش بولتن نیوز ، این اشتباه نخستین بار در بعد از ظهر روز جمعه توسط Juho Nurminen محقق امنیتی مورد توجه قرار گرفت، که وی این موضوع را در توییتر با عنوان "Oh shit Adobe" نوشت.
PGP، که مخفف Pretty Good Privacy میباشد، یک روش برای ارسال پیامهای رمزنگاری با امنیت نزدیک به امنیت دولتی است. کاربران PGP دو کلید دریافت میکنند: یک کلید عمومی PGP که با یک آدرس ایمیل یا نام کاربری مرتبط است و پیامهای ورودی را رمزگذاری میکند و یک کلید خصوصی که فقط توسط گیرنده برای رمزگشایی پیامها شناخته و استفاده میشود.
شانتانو نارایان مدیر اجرایی Adobe در نشست سال 2017 در لاس وگاس
فقط دانستن کلید خصوصی PGP به خودی خود اجازه نمیدهد که یک کاربر مخرب، حساب ایمیل مربوط به Adobe را که ممکن است لایههای امنیتی دیگری داشته باشد، نقض کند. اما همان طور که اشاره شد، فاش شدن کلید میتواند مشکلات دیگری برای Adobe ایجاد کند، زیرا از آدرس ایمیل برای گزارش نقصهای امنیتی بحرانی به محصولات خود استفاده میکند:
مهاجم با استفاده از کلید خصوصی میتواند پیامهای امضا شده توسط PGP را از Adobe حذف کند. علاوه بر این، کسی با توانایی ردیابی ایمیلها - مانند کسانی که جزئیات گزارشهای آسیبپذیری امنیتی قابل استفاده در فلش را فقط برای چشمهای Adobe به کار میبرند – میتواند از کلید برای رمزگشایی پیامهایی استفاده کند که ممکن است شامل مواردی مانند، افشای آسیبپذیری حمله روز صفر باشد.
طبق گفته Ars Technica، مشکل زمانی ظاهر شد که یک کارمند Adobe یک فایل متنی حاوی کلید عمومی PGP را با استفاده از Mailvelope، یک مرورگر معمولی، پست کرد. سپس آنها فراموش کردند تا بخشی از فایل متنی صادر شده که حاوی کلید خصوصی بود را پاک کنند.
سیستم PGP خیلی کاربر پسند نیست - این حرفی کاملا صریح و بسیار تند است اما باید گفت که این هنوز هم یک اشتباه نسبتا بزرگ است. پست اصلی تا کنون حذف شده و با یک کلید جدید جایگزین شده است، بنابراین امیدواریم در زمان کوتاهی که در سایت وجود داشت آسیبی به وجود نیاورده باشد. بدیهی است که در هفتههای اخیر، مشکلات امنیتی با امنیت دیجیتال بسیار بدتر از این حادثه کوچک وجود داشته است، بنابراین احتمال میتوان به Adobe در این مورد سخت نگرفت.
منبع: https://gizmodo.com
https://gizmodo.com/adobes-product-security-team-accidentally-posted-its-pr-1818694133
گروه ترجمه بولتن نیوز
شما می توانید مطالب و تصاویر خود را به آدرس زیر ارسال فرمایید.
bultannews@gmail.com