2 puan yazan GN⁺ 2024-11-12 | 1 yorum | WhatsApp'ta paylaş
  • EUCLEAK saldırısına karşı savunmasız firmware içeren eski YubiKey stoklarının imha edilmeden satılmaya devam ettiğine dair bir ihbar paylaşıldı
  • Dayanak olarak Fefe's Blog okur ihbarı gösteriliyor; resmî açıklama veya üretici doğrulaması yer almıyor
  • Şu anda doğrulanabilen kapsam, yalnızca “eski stok” ve “savunmasız firmware” düzeyinde; model adı ve firmware sürümü verilmedi
  • Satışın sürdüğü iddiası da “apparently” ifadesine dayandığından, kesinleşmiş bir olgudan çok ihbar temelli bir durum olarak değerlendirilmeli
  • Yeni satın alınan bir YubiKey için bile firmware açığı bulunup bulunmadığını ayrıca kontrol etmek gerekebilir

İhbarla doğrulanan kapsam

  • YubiKey’in EUCLEAK saldırısına karşı savunmasız firmware içeren eski stokları satmaya devam ettiği yönünde bir bilgi paylaşıldı
  • Söz konusu stokların imha edilmeden satışa sunulduğu aktarılıyor
  • Dayanak olarak Fefe's Blog üzerinde yayımlanan bir okur ihbarına atıf yapılıyor

Hâlâ eksik olan doğrulama bilgileri

  • Somut YubiKey model adı, firmware sürümü, satış bölgesi ve satış kanalı belirtilmedi
  • YubiKey tarafının resmî tutumu ya da herhangi bir önlem alıp almadığına dair bilgi de yer almıyor

1 yorum

 
GN⁺ 2024-11-12
Hacker News yorumu
  • YubiKey açığı duyurusunu kaçırmış, ancak bunun bireysel tehdit modeli üzerinde büyük bir etkisi yok

    • Saldırganın YubiKey'e fiziksel olarak sahip olması, hedef hesaba dair bilgiye ve uzman ekipmana sahip olması gerekiyor
    • Kullanıcı adı, PIN, hesap parolası, kimlik doğrulama anahtarları gibi ek bilgiler gerekebilir
  • Yubico'nun savunmasız anahtarları imha etmeden satmaya devam ettiğine dikkat çekiliyor

    • Yeni firmware'e sahip anahtarlar öncelikli olarak kurumlara ve "öncelikli müşterilere" tedarik ediliyor
  • Müşterilerin Yubico'ya güvenip güvenemeyeceği konusunda soru işaretleri doğuyor

    • Üreticinin müşterileri korumak için çaba göstermesi beklentisi var
    • Savunmasız anahtarlar satmak güven ihlali olarak görülüyor
  • YubiKey kaybedilirse veriler tehlikeye girebilir

    • 14 yıl boyunca fark edilmemiş bir açık mevcut
    • YubiKey'i sökmeden sırları çıkarmanın bir yolu var
  • Yubico'nun bu anahtarları satma nedeni olarak firmware sürümünü açıkça belirtmenin maliyetli olması gösteriliyor

    • Bunun rakipler için bir fırsat olduğu düşünülüyor
    • Nitrokey iyi bir alternatif olarak sunuluyor
  • Güvenlik token'ı satın alırken açık firmware ve donanıma sahip ürünler tercih ediliyor

    • Bağımsız olarak incelenmiş ürünler isteniyor
    • Firmware'i yükleyip güncelleyebilme özelliği olması iyi olur
  • Nitrokey tavsiye ediliyor

    • Yazılımı GitHub'da açık olarak yayımlanmış durumda
  • Eski YubiKey'leri indirimli fiyata satın alma isteği var

    • Bireysel tehdit modelinde çalınmış anahtarlara karşı direnç çok gerekli görülmüyor
  • Müşteri bir güvenlik token'ı seçme sürecinin son aşamasındaymış

    • YubiKey artık bir seçenek değil
    • Kusurun ele alınış biçiminden hayal kırıklığı duyuluyor
  • Yubico'dan anahtar satın alırken pasif-agresif satış e-postaları alınabiliyor