Bericht: YubiKey verkauft offenbar weiterhin ältere Lagerbestände mit anfälliger Firmware
(news.ycombinator.com)- Es gibt einen Hinweis darauf, dass ältere YubiKey-Lagerbestände mit Firmware, die für den EUCLEAK-Angriff anfällig ist, nicht ausgesondert wurden und weiterhin verkauft werden
- Als Grundlage dient ein Leserhinweis im Fefe's Blog; eine offizielle Mitteilung oder Bestätigung des Herstellers ist nicht enthalten
- Der derzeit überprüfbare Rahmen bleibt auf „ältere Lagerbestände“ und „anfällige Firmware“ beschränkt; Modellbezeichnungen und Firmware-Versionen werden nicht genannt
- Ob der Verkauf tatsächlich andauert, stützt sich ebenfalls auf die Formulierung „apparently“ und sollte daher eher als hinweisgestützte Indizienlage denn als gesicherte Tatsache verstanden werden
- Auch bei neu gekauften YubiKeys könnte es nötig sein, die Anfälligkeit der Firmware gesondert zu prüfen
Durch den Hinweis bestätigter Rahmen
- Es wurde die Information geteilt, dass YubiKey weiterhin ältere Lagerbestände mit Firmware verkauft, die für den EUCLEAK-Angriff anfällig ist
- Diese Bestände sollen nicht ausgesondert, sondern verkauft worden sein
- Als Quelle wird ein Leserhinweis im Fefe's Blog genannt
Noch fehlende Bestätigungsinformationen
- Konkrete YubiKey-Modellbezeichnungen, Firmware-Versionen, Verkaufsregionen und Vertriebskanäle werden nicht genannt
- Eine offizielle Stellungnahme von YubiKey oder Informationen zu möglichen Maßnahmen sind ebenfalls nicht enthalten
1 Kommentare
Hacker-News-Kommentare
Die Bekanntgabe der YubiKey-Sicherheitslücke wurde zwar verpasst, hat aber nur geringe Auswirkungen auf das persönliche Bedrohungsmodell
Es wird darauf hingewiesen, dass Yubico weiterhin anfällige Schlüssel verkauft, anstatt sie aus dem Verkehr zu ziehen
Es werden Zweifel daran geäußert, ob Kunden Yubico vertrauen können
Wenn ein YubiKey verloren geht, können Daten kompromittiert werden
Der Grund, warum Yubico die Schlüssel verkauft, sei, dass eine klare Kennzeichnung der Firmware-Version zu kostspielig wäre
Beim Kauf von Sicherheitstokens werden Produkte mit offener Firmware und offener Hardware bevorzugt
Nitrokey wird empfohlen
Es besteht Bereitschaft, ältere YubiKeys zu einem reduzierten Preis zu kaufen
Der Kunde befand sich in der Endphase der Auswahl eines Sicherheitstokens
Beim Kauf von Schlüsseln bei Yubico könnte man passiv-aggressive Verkaufs-E-Mails erhalten