YubiKey, Hâlâ EUCLEAK saldırısına açık firmware’e sahip eski stokları satıyor

Hacker News yorumu

• YubiKey açığı duyurusunu kaçırmış, ancak bunun bireysel tehdit modeli üzerinde büyük bir etkisi yok

  • Saldırganın YubiKey'e fiziksel olarak sahip olması, hedef hesaba dair bilgiye ve uzman ekipmana sahip olması gerekiyor
  • Kullanıcı adı, PIN, hesap parolası, kimlik doğrulama anahtarları gibi ek bilgiler gerekebilir

• Yubico'nun savunmasız anahtarları imha etmeden satmaya devam ettiğine dikkat çekiliyor

  • Yeni firmware'e sahip anahtarlar öncelikli olarak kurumlara ve "öncelikli müşterilere" tedarik ediliyor

• Müşterilerin Yubico'ya güvenip güvenemeyeceği konusunda soru işaretleri doğuyor

  • Üreticinin müşterileri korumak için çaba göstermesi beklentisi var
  • Savunmasız anahtarlar satmak güven ihlali olarak görülüyor

• YubiKey kaybedilirse veriler tehlikeye girebilir

  • 14 yıl boyunca fark edilmemiş bir açık mevcut
  • YubiKey'i sökmeden sırları çıkarmanın bir yolu var

• Yubico'nun bu anahtarları satma nedeni olarak firmware sürümünü açıkça belirtmenin maliyetli olması gösteriliyor

  • Bunun rakipler için bir fırsat olduğu düşünülüyor
  • Nitrokey iyi bir alternatif olarak sunuluyor

• Güvenlik token'ı satın alırken açık firmware ve donanıma sahip ürünler tercih ediliyor

  • Bağımsız olarak incelenmiş ürünler isteniyor
  • Firmware'i yükleyip güncelleyebilme özelliği olması iyi olur

• Nitrokey tavsiye ediliyor

  • Yazılımı GitHub'da açık olarak yayımlanmış durumda

• Eski YubiKey'leri indirimli fiyata satın alma isteği var

  • Bireysel tehdit modelinde çalınmış anahtarlara karşı direnç çok gerekli görülmüyor

• Müşteri bir güvenlik token'ı seçme sürecinin son aşamasındaymış

  • YubiKey artık bir seçenek değil
  • Kusurun ele alınış biçiminden hayal kırıklığı duyuluyor

• Yubico'dan anahtar satın alırken pasif-agresif satış e-postaları alınabiliyor