มีรายงานว่า YubiKey ยังขายสต็อกเก่าที่ใช้เฟิร์มแวร์มีช่องโหว่อยู่
(news.ycombinator.com)- มีรายงานว่าสต็อกเก่าของ YubiKey ที่มีเฟิร์มแวร์ซึ่งเสี่ยงต่อ การโจมตี EUCLEAK ยังไม่ถูกทิ้งและยังคงวางขายอยู่
- หลักฐานมาจาก การแจ้งเบาะแสของผู้อ่าน Fefe's Blog และไม่ได้รวมประกาศอย่างเป็นทางการหรือการยืนยันจากผู้ผลิต
- ขอบเขตที่ตรวจสอบได้ในตอนนี้ยังอยู่แค่ระดับ “สต็อกเก่า” และ “เฟิร์มแวร์ที่มีช่องโหว่” โดยไม่มีการระบุชื่อรุ่นหรือเวอร์ชันเฟิร์มแวร์
- การที่ยังขายต่ออยู่ก็อิงจากคำว่า “apparently” จึงควรมองว่าเป็นสถานการณ์ตามเบาะแสมากกว่าข้อเท็จจริงที่ยืนยันแล้ว
- แม้จะเป็น YubiKey ที่ซื้อใหม่ ก็อาจจำเป็นต้องตรวจสอบแยกต่างหากว่า เฟิร์มแวร์มีช่องโหว่หรือไม่
ขอบเขตที่ได้รับการยืนยันจากเบาะแส
- มีการแชร์ข้อมูลว่า YubiKey ยังคงขายสต็อกเก่าที่มีเฟิร์มแวร์ซึ่งเสี่ยงต่อ การโจมตี EUCLEAK
- มีรายงานว่าสต็อกดังกล่าวไม่ได้ถูกทิ้งและยังถูกนำมาขาย
- มีการอ้างถึงเบาะแสจากผู้อ่านที่โพสต์บน Fefe's Blog เป็นหลักฐาน
ข้อมูลยืนยันที่ยังขาดอยู่
- ยังไม่มีการระบุ ชื่อรุ่น YubiKey, เวอร์ชันเฟิร์มแวร์, พื้นที่จำหน่าย หรือช่องทางจำหน่ายที่ชัดเจน
- ยังไม่มีท่าทีอย่างเป็นทางการจาก YubiKey หรือข้อมูลว่ามีการดำเนินมาตรการใดหรือไม่
1 ความคิดเห็น
ความเห็นจาก Hacker News
พลาดประกาศช่องโหว่ของ YubiKey ไป แต่ไม่ได้ส่งผลมากนักต่อโมเดลภัยคุกคามส่วนบุคคล
มีการชี้ว่า Yubico ยังคงขายคีย์ที่มีช่องโหว่อยู่แทนที่จะคัดทิ้ง
มีการตั้งคำถามว่าลูกค้ายังสามารถเชื่อถือ Yubico ได้หรือไม่
หากทำ YubiKey หาย ข้อมูลอาจถูกเจาะได้
เหตุผลที่ Yubico ยังขายคีย์เหล่านี้ น่าจะเป็นเพราะการระบุเวอร์ชันเฟิร์มแวร์ให้ชัดเจนมีต้นทุนสูง
เวลาซื้อโทเค็นความปลอดภัย จะชอบผลิตภัณฑ์ที่มีเฟิร์มแวร์และฮาร์ดแวร์แบบเปิด
แนะนำ Nitrokey
ยินดีซื้อ YubiKey รุ่นเก่าในราคาลดพิเศษ
ลูกค้ากำลังอยู่ในขั้นตอนสุดท้ายของการเลือกโทเค็นความปลอดภัย
หากซื้อคีย์จาก Yubico อาจได้รับอีเมลขายของเชิงรุกแบบกึ่งแมนนวล