Informan que YubiKey aún vende inventario antiguo con firmware vulnerable
(news.ycombinator.com)- Surgió un reporte de que inventario antiguo de YubiKey con firmware vulnerable al ataque EUCLEAK no fue desechado y se sigue vendiendo
- La base es un reporte de un lector de Fefe's Blog; no incluye un anuncio oficial ni confirmación del fabricante
- Por ahora, lo verificable se limita a “inventario antiguo” y “firmware vulnerable”; no se proporcionan modelos ni versiones de firmware
- La continuidad de las ventas también se basa en la expresión “apparently”, por lo que debe verse como un indicio basado en un reporte, no como un hecho confirmado
- Incluso si se compra una YubiKey nueva, podría ser necesario verificar por separado si tiene vulnerabilidades de firmware
Alcance confirmado por el reporte
- Se compartió que YubiKey sigue vendiendo inventario antiguo que incluye firmware vulnerable al ataque EUCLEAK
- Según el reporte, ese inventario no fue desechado y se está vendiendo
- Como base, se menciona un reporte de un lector publicado en Fefe's Blog
Información de verificación que aún falta
- No se proporcionan el modelo específico de YubiKey, la versión de firmware, la región de venta ni el canal de venta
- Tampoco se incluye una postura oficial de YubiKey ni si tomó alguna medida
1 comentarios
Comentarios de Hacker News
Se pasó por alto el anuncio de la vulnerabilidad de YubiKey, pero no afecta mucho al modelo de amenazas personal
Hay señalamientos de que Yubico sigue vendiendo llaves vulnerables en lugar de retirarlas
Se plantean dudas sobre si los clientes pueden confiar en Yubico
Si se pierde una YubiKey, los datos podrían verse comprometidos
La razón por la que Yubico vende estas llaves es que marcar claramente la versión del firmware resulta costoso
Al comprar un token de seguridad, se prefieren productos con firmware y hardware abiertos
Se recomienda Nitrokey
Habría disposición a comprar YubiKey antiguas con descuento
El cliente estaba en la etapa final de elegir un token de seguridad
Al comprar llaves de Yubico, podrías recibir correos de venta pasivo-agresivos