YubiKey’in, savunmasız firmware yüklü eski stokları hâlâ sattığına dair ihbar
(news.ycombinator.com)- EUCLEAK saldırısına karşı savunmasız firmware içeren eski YubiKey stoklarının imha edilmeden satılmaya devam ettiğine dair bir ihbar paylaşıldı
- Dayanak olarak Fefe's Blog okur ihbarı gösteriliyor; resmî açıklama veya üretici doğrulaması yer almıyor
- Şu anda doğrulanabilen kapsam, yalnızca “eski stok” ve “savunmasız firmware” düzeyinde; model adı ve firmware sürümü verilmedi
- Satışın sürdüğü iddiası da “apparently” ifadesine dayandığından, kesinleşmiş bir olgudan çok ihbar temelli bir durum olarak değerlendirilmeli
- Yeni satın alınan bir YubiKey için bile firmware açığı bulunup bulunmadığını ayrıca kontrol etmek gerekebilir
İhbarla doğrulanan kapsam
- YubiKey’in EUCLEAK saldırısına karşı savunmasız firmware içeren eski stokları satmaya devam ettiği yönünde bir bilgi paylaşıldı
- Söz konusu stokların imha edilmeden satışa sunulduğu aktarılıyor
- Dayanak olarak Fefe's Blog üzerinde yayımlanan bir okur ihbarına atıf yapılıyor
Hâlâ eksik olan doğrulama bilgileri
- Somut YubiKey model adı, firmware sürümü, satış bölgesi ve satış kanalı belirtilmedi
- YubiKey tarafının resmî tutumu ya da herhangi bir önlem alıp almadığına dair bilgi de yer almıyor
1 yorum
Hacker News yorumu
YubiKey açığı duyurusunu kaçırmış, ancak bunun bireysel tehdit modeli üzerinde büyük bir etkisi yok
Yubico'nun savunmasız anahtarları imha etmeden satmaya devam ettiğine dikkat çekiliyor
Müşterilerin Yubico'ya güvenip güvenemeyeceği konusunda soru işaretleri doğuyor
YubiKey kaybedilirse veriler tehlikeye girebilir
Yubico'nun bu anahtarları satma nedeni olarak firmware sürümünü açıkça belirtmenin maliyetli olması gösteriliyor
Güvenlik token'ı satın alırken açık firmware ve donanıma sahip ürünler tercih ediliyor
Nitrokey tavsiye ediliyor
Eski YubiKey'leri indirimli fiyata satın alma isteği var
Müşteri bir güvenlik token'ı seçme sürecinin son aşamasındaymış
Yubico'dan anahtar satın alırken pasif-agresif satış e-postaları alınabiliyor