YubiKey bị tố vẫn bán hàng tồn kho cũ dùng firmware dễ bị tấn công
(news.ycombinator.com)- Có thông tin cho rằng hàng tồn kho YubiKey đời cũ chứa firmware dễ bị tấn công EUCLEAK chưa bị tiêu hủy mà vẫn đang tiếp tục được bán
- Cơ sở cho thông tin này là độc giả gửi tin cho Fefe's Blog, không bao gồm công bố chính thức hay xác nhận từ nhà sản xuất
- Trong phạm vi hiện có thể xác minh, thông tin mới chỉ dừng ở mức “hàng tồn kho cũ” và “firmware dễ bị tấn công”; chưa có tên mẫu hay phiên bản firmware
- Việc tiếp tục bán ra cũng dựa trên cách diễn đạt “apparently”, nên cần xem đây là tình tiết dựa trên tin báo hơn là sự thật đã được xác nhận
- Ngay cả YubiKey mới mua cũng có thể cần được kiểm tra riêng về tình trạng dễ bị tổn thương của firmware
Phạm vi được xác nhận từ tin báo
- Có chia sẻ rằng YubiKey vẫn đang bán hàng tồn kho cũ có chứa firmware dễ bị tấn công EUCLEAK
- Lượng hàng tồn này được cho là không bị tiêu hủy mà vẫn được bán ra
- Nguồn được nhắc đến là tin báo của độc giả đăng trên Fefe's Blog
Những thông tin vẫn còn thiếu xác nhận
- Chưa có tên mẫu YubiKey cụ thể, phiên bản firmware, khu vực bán hàng hay kênh bán hàng
- Cũng chưa có lập trường chính thức hay thông tin về biện pháp xử lý từ phía YubiKey
1 bình luận
Ý kiến Hacker News
Đã bỏ lỡ thông báo về lỗ hổng của YubiKey, nhưng nó không ảnh hưởng nhiều đến mô hình đe dọa cá nhân
Có ý kiến chỉ ra rằng Yubico vẫn đang bán các khóa dễ bị tấn công thay vì loại bỏ chúng
Có nghi vấn liệu khách hàng có thể tin tưởng Yubico hay không
Nếu làm mất YubiKey, dữ liệu có thể bị xâm phạm
Lý do Yubico bán các khóa này là vì việc ghi rõ phiên bản firmware sẽ tốn kém
Khi mua token bảo mật, người ta ưu tiên sản phẩm có firmware và phần cứng mở
Khuyến nghị Nitrokey
Sẵn sàng mua YubiKey đời cũ với giá giảm
Đã ở bước cuối cùng trong việc chọn token bảo mật
Khi mua khóa của Yubico, bạn có thể nhận được các email bán hàng thủ công mang tính công kích