2 điểm bởi GN⁺ 2024-11-12 | 1 bình luận | Chia sẻ qua WhatsApp
  • Có thông tin cho rằng hàng tồn kho YubiKey đời cũ chứa firmware dễ bị tấn công EUCLEAK chưa bị tiêu hủy mà vẫn đang tiếp tục được bán
  • Cơ sở cho thông tin này là độc giả gửi tin cho Fefe's Blog, không bao gồm công bố chính thức hay xác nhận từ nhà sản xuất
  • Trong phạm vi hiện có thể xác minh, thông tin mới chỉ dừng ở mức “hàng tồn kho cũ” và “firmware dễ bị tấn công”; chưa có tên mẫu hay phiên bản firmware
  • Việc tiếp tục bán ra cũng dựa trên cách diễn đạt “apparently”, nên cần xem đây là tình tiết dựa trên tin báo hơn là sự thật đã được xác nhận
  • Ngay cả YubiKey mới mua cũng có thể cần được kiểm tra riêng về tình trạng dễ bị tổn thương của firmware

Phạm vi được xác nhận từ tin báo

  • Có chia sẻ rằng YubiKey vẫn đang bán hàng tồn kho cũ có chứa firmware dễ bị tấn công EUCLEAK
  • Lượng hàng tồn này được cho là không bị tiêu hủy mà vẫn được bán ra
  • Nguồn được nhắc đến là tin báo của độc giả đăng trên Fefe's Blog

Những thông tin vẫn còn thiếu xác nhận

  • Chưa có tên mẫu YubiKey cụ thể, phiên bản firmware, khu vực bán hàng hay kênh bán hàng
  • Cũng chưa có lập trường chính thức hay thông tin về biện pháp xử lý từ phía YubiKey

1 bình luận

 
GN⁺ 2024-11-12
Ý kiến Hacker News
  • Đã bỏ lỡ thông báo về lỗ hổng của YubiKey, nhưng nó không ảnh hưởng nhiều đến mô hình đe dọa cá nhân

    • Kẻ tấn công phải sở hữu vật lý YubiKey, đồng thời cần kiến thức về tài khoản mục tiêu và thiết bị chuyên dụng
    • Có thể cần thêm thông tin như tên người dùng, PIN, mật khẩu tài khoản và khóa xác thực
  • Có ý kiến chỉ ra rằng Yubico vẫn đang bán các khóa dễ bị tấn công thay vì loại bỏ chúng

    • Các khóa có firmware mới trước hết được cung cấp cho tổ chức và "khách hàng ưu tiên"
  • Có nghi vấn liệu khách hàng có thể tin tưởng Yubico hay không

    • Có kỳ vọng rằng nhà sản xuất phải nỗ lực để bảo vệ khách hàng
    • Việc bán các khóa có lỗ hổng được xem là hành vi phản bội niềm tin
  • Nếu làm mất YubiKey, dữ liệu có thể bị xâm phạm

    • Có một lỗ hổng đã tồn tại suốt 14 năm mà không bị phát hiện
    • Có cách trích xuất bí mật mà không cần tháo rời YubiKey
  • Lý do Yubico bán các khóa này là vì việc ghi rõ phiên bản firmware sẽ tốn kém

    • Đây có vẻ là cơ hội để đối thủ cạnh tranh xuất hiện
    • Nitrokey được nêu như một lựa chọn thay thế tốt
  • Khi mua token bảo mật, người ta ưu tiên sản phẩm có firmware và phần cứng mở

    • Muốn có sản phẩm đã được kiểm tra độc lập
    • Sẽ tốt hơn nếu có khả năng nạp và cập nhật firmware
  • Khuyến nghị Nitrokey

    • Phần mềm được công khai trên GitHub
  • Sẵn sàng mua YubiKey đời cũ với giá giảm

    • Trong mô hình đe dọa cá nhân, không quá cần khả năng chống lại việc khóa bị đánh cắp
  • Đã ở bước cuối cùng trong việc chọn token bảo mật

    • YubiKey không còn là một lựa chọn nữa
    • Thất vọng với cách họ xử lý lỗi
  • Khi mua khóa của Yubico, bạn có thể nhận được các email bán hàng thủ công mang tính công kích