2 पॉइंट द्वारा GN⁺ 2024-11-12 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • EUCLEAK attack के प्रति कमजोर firmware वाले YubiKey के पुराने stock को नष्ट करने के बजाय अब भी बेचे जाने की रिपोर्ट सामने आई है
  • इसका आधार Fefe's Blog के एक पाठक की टिप है, और इसमें कोई आधिकारिक घोषणा या निर्माता की पुष्टि शामिल नहीं है
  • फिलहाल पुष्टि योग्य जानकारी सिर्फ “पुराना stock” और “कमजोर firmware” के स्तर तक सीमित है; model name और firmware version नहीं दिए गए हैं
  • बिक्री जारी रहने का दावा भी “apparently” शब्द पर आधारित है, इसलिए इसे पक्के तथ्य की बजाय एक रिपोर्ट-आधारित परिस्थिति के रूप में देखना चाहिए
  • नया खरीदा गया YubiKey भी firmware vulnerability के लिए अलग से जांचना पड़ सकता है

रिपोर्ट से पुष्टि की गई सीमा

  • यह जानकारी साझा की गई है कि YubiKey अब भी EUCLEAK attack के प्रति कमजोर firmware वाले पुराने stock बेच रहा है
  • बताया गया है कि इस stock को नष्ट नहीं किया गया, बल्कि बेचा जा रहा है
  • आधार के रूप में Fefe's Blog पर प्रकाशित एक पाठक की टिप का उल्लेख किया गया है

अभी भी अनुपलब्ध पुष्टि संबंधी जानकारी

  • विशिष्ट YubiKey model name, firmware version, बिक्री क्षेत्र और बिक्री चैनल उपलब्ध नहीं कराए गए हैं
  • YubiKey की ओर से कोई आधिकारिक प्रतिक्रिया या कार्रवाई की जानकारी भी शामिल नहीं है

1 टिप्पणियां

 
GN⁺ 2024-11-12
Hacker News की राय
  • YubiKey की भेद्यता की घोषणा छूट गई थी, लेकिन व्यक्तिगत threat model पर इसका बड़ा असर नहीं पड़ता

    • हमलावर के पास YubiKey का भौतिक कब्ज़ा होना चाहिए, और उसे target account की जानकारी व विशेष उपकरणों की ज़रूरत होगी
    • username, PIN, account password, authentication key जैसी अतिरिक्त जानकारी की भी आवश्यकता हो सकती है
  • यह भी इंगित किया गया कि Yubico कमजोर keys को नष्ट किए बिना अब भी बेच रहा है

    • नए firmware वाली keys को प्राथमिकता से संस्थानों और "प्राथमिक ग्राहकों" को दिया जाता है
  • इस पर सवाल उठता है कि क्या ग्राहक Yubico पर भरोसा कर सकते हैं

    • अपेक्षा की जाती है कि निर्माता ग्राहकों की सुरक्षा के लिए प्रयास करे
    • कमजोर keys बेचना भरोसे का उल्लंघन माना जाता है
  • अगर YubiKey खो जाए तो डेटा से समझौता हो सकता है

    • 14 साल तक बिना पकड़ी गई एक भेद्यता मौजूद रही
    • YubiKey को खोले बिना भी secrets निकालने का एक तरीका है
  • Yubico के keys बेचते रहने का कारण यह है कि firmware version को स्पष्ट रूप से दिखाना महंगा पड़ता है

    • यह किसी प्रतिस्पर्धी के उभरने का अवसर लगता है
    • Nitrokey को एक अच्छे विकल्प के रूप में पेश किया गया है
  • security token खरीदते समय, open firmware और hardware वाले products को प्राथमिकता दी जाती है

    • स्वतंत्र रूप से जाँचे गए products चाहिए
    • firmware को लोड और update करने की क्षमता हो तो अच्छा है
  • Nitrokey की सिफारिश की गई है

    • इसका software GitHub पर सार्वजनिक है
  • पुरानी YubiKey को छूट वाली कीमत पर खरीदने की इच्छा है

    • व्यक्तिगत threat model में चोरी हुई key के खिलाफ बहुत अधिक resistance की ज़रूरत नहीं है
  • ग्राहक security token चुनने के अंतिम चरण में था

    • YubiKey अब विकल्प नहीं है
    • defect को संभालने के तरीके से निराशा हुई
  • Yubico की key खरीदने पर passive-aggressive sales emails मिल सकती हैं