Relato aponta que a YubiKey ainda vende estoque antigo com firmware vulnerável
(news.ycombinator.com)- Surgiu um relato de que unidades antigas da YubiKey com firmware vulnerável ao ataque EUCLEAK não foram descartadas e continuam sendo vendidas
- A base disso é um relato de leitor do Fefe's Blog, sem incluir anúncio oficial ou confirmação do fabricante
- O que pode ser verificado no momento fica no nível de “estoque antigo” e “firmware vulnerável”; não foram fornecidos nome do modelo nem versão do firmware
- A continuidade das vendas também se apoia na expressão “apparently”, então deve ser vista mais como um indício baseado em relato do que como fato confirmado
- Mesmo em uma YubiKey comprada recentemente, pode ser necessário verificar separadamente se há vulnerabilidade no firmware
Alcance confirmado pelo relato
- Foi compartilhada a informação de que a YubiKey continua vendendo estoque antigo com firmware vulnerável ao ataque EUCLEAK
- Esse estoque estaria sendo vendido em vez de descartado
- Como base, foi mencionado um relato de leitor publicado no Fefe's Blog
Informações que ainda faltam confirmar
- Não foram fornecidos o nome exato do modelo da YubiKey, a versão do firmware, a região de venda nem o canal de vendas
- Também não foi incluída nenhuma posição oficial da YubiKey nem informação sobre medidas adotadas
1 comentários
Comentários no Hacker News
A divulgação da vulnerabilidade do YubiKey passou despercebida, mas não afeta muito o modelo de ameaça pessoal
Há críticas de que a Yubico continua vendendo chaves vulneráveis em vez de descartá-las
Levanta-se a dúvida se os clientes podem confiar na Yubico
Se o YubiKey for perdido, os dados podem ser comprometidos
A Yubico vende essas chaves porque indicar claramente a versão do firmware custaria caro
Ao comprar um token de segurança, há preferência por produtos com firmware e hardware abertos
Recomendam o Nitrokey
Haveria disposição para comprar YubiKeys antigos com desconto
O cliente estava na etapa final de escolher um token de segurança
Ao comprar chaves da Yubico, é possível receber e-mails de vendas passivo-agressivos