2 pontos por GN⁺ 2024-11-12 | 1 comentários | Compartilhar no WhatsApp
  • Surgiu um relato de que unidades antigas da YubiKey com firmware vulnerável ao ataque EUCLEAK não foram descartadas e continuam sendo vendidas
  • A base disso é um relato de leitor do Fefe's Blog, sem incluir anúncio oficial ou confirmação do fabricante
  • O que pode ser verificado no momento fica no nível de “estoque antigo” e “firmware vulnerável”; não foram fornecidos nome do modelo nem versão do firmware
  • A continuidade das vendas também se apoia na expressão “apparently”, então deve ser vista mais como um indício baseado em relato do que como fato confirmado
  • Mesmo em uma YubiKey comprada recentemente, pode ser necessário verificar separadamente se há vulnerabilidade no firmware

Alcance confirmado pelo relato

  • Foi compartilhada a informação de que a YubiKey continua vendendo estoque antigo com firmware vulnerável ao ataque EUCLEAK
  • Esse estoque estaria sendo vendido em vez de descartado
  • Como base, foi mencionado um relato de leitor publicado no Fefe's Blog

Informações que ainda faltam confirmar

  • Não foram fornecidos o nome exato do modelo da YubiKey, a versão do firmware, a região de venda nem o canal de vendas
  • Também não foi incluída nenhuma posição oficial da YubiKey nem informação sobre medidas adotadas

1 comentários

 
GN⁺ 2024-11-12
Comentários no Hacker News
  • A divulgação da vulnerabilidade do YubiKey passou despercebida, mas não afeta muito o modelo de ameaça pessoal

    • O atacante precisa ter posse física do YubiKey, além de conhecimento sobre a conta-alvo e equipamento especializado
    • Pode ser necessário ter informações adicionais, como nome de usuário, PIN, senha da conta e chaves de autenticação
  • Há críticas de que a Yubico continua vendendo chaves vulneráveis em vez de descartá-las

    • As chaves com firmware novo são fornecidas prioritariamente a instituições e "clientes preferenciais"
  • Levanta-se a dúvida se os clientes podem confiar na Yubico

    • Existe a expectativa de que o fabricante se esforce para proteger os clientes
    • Vender chaves vulneráveis é visto como uma quebra de confiança
  • Se o YubiKey for perdido, os dados podem ser comprometidos

    • Existe uma vulnerabilidade que não foi descoberta por 14 anos
    • Há um método de extrair segredos sem desmontar o YubiKey
  • A Yubico vende essas chaves porque indicar claramente a versão do firmware custaria caro

    • Isso parece uma oportunidade para concorrentes aparecerem
    • O Nitrokey é apresentado como uma boa alternativa
  • Ao comprar um token de segurança, há preferência por produtos com firmware e hardware abertos

    • Querem produtos inspecionados de forma independente
    • Seria bom ter a capacidade de carregar e atualizar o firmware
  • Recomendam o Nitrokey

    • O software está disponível publicamente no GitHub
  • Haveria disposição para comprar YubiKeys antigos com desconto

    • No modelo de ameaça pessoal, não é tão necessário resistir a uma chave roubada
  • O cliente estava na etapa final de escolher um token de segurança

    • O YubiKey não é mais uma opção
    • Há decepção com a forma como o defeito foi tratado
  • Ao comprar chaves da Yubico, é possível receber e-mails de vendas passivo-agressivos