2 poin oleh GN⁺ 2024-11-12 | 1 komentar | Bagikan ke WhatsApp
  • Ada laporan bahwa stok lama YubiKey yang berisi firmware rentan terhadap serangan EUCLEAK belum dimusnahkan dan masih terus dijual
  • Dasarnya adalah laporan pembaca Fefe's Blog, dan tidak mencakup pengumuman resmi atau konfirmasi dari produsen
  • Cakupan yang saat ini dapat dikonfirmasi masih sebatas “stok lama” dan “firmware rentan”; nama model maupun versi firmware tidak disediakan
  • Kelanjutan penjualannya juga didasarkan pada ungkapan “apparently”, sehingga sebaiknya dilihat sebagai indikasi berbasis laporan, bukan fakta yang sudah dipastikan
  • Bahkan YubiKey yang baru dibeli mungkin perlu diperiksa secara terpisah terkait apakah firmwarenya rentan

Cakupan yang dikonfirmasi lewat laporan

  • Telah dibagikan informasi bahwa YubiKey masih menjual stok lama yang berisi firmware rentan terhadap serangan EUCLEAK
  • Stok tersebut dilaporkan tidak dimusnahkan dan tetap dijual
  • Sebagai dasar, disebutkan laporan pembaca yang dimuat di Fefe's Blog

Informasi konfirmasi yang masih belum ada

  • Nama model YubiKey yang spesifik, versi firmware, wilayah penjualan, dan kanal penjualan tidak disediakan
  • Sikap resmi atau tindakan dari pihak YubiKey juga tidak disertakan

1 komentar

 
GN⁺ 2024-11-12
Komentar Hacker News
  • Sempat melewatkan pengumuman kerentanan YubiKey, tetapi tidak terlalu berdampak pada model ancaman pribadi

    • Penyerang harus memiliki YubiKey secara fisik, serta pengetahuan tentang akun target dan peralatan khusus
    • Mungkin diperlukan informasi tambahan seperti nama pengguna, PIN, kata sandi akun, dan kunci autentikasi
  • Ada kritik bahwa Yubico masih menjual kunci yang rentan alih-alih menariknya dari peredaran

    • Kunci dengan firmware baru diprioritaskan untuk lembaga dan "pelanggan prioritas"
  • Muncul pertanyaan apakah pelanggan masih bisa mempercayai Yubico

    • Ada harapan bahwa produsen harus berupaya melindungi pelanggan
    • Menjual kunci yang rentan dianggap sebagai pelanggaran kepercayaan
  • Jika YubiKey hilang, data bisa terkompromi

    • Ada kerentanan yang tidak terdeteksi selama 14 tahun
    • Ada cara untuk mengekstrak rahasia tanpa membongkar YubiKey
  • Alasan Yubico menjual kunci tersebut adalah karena memberi label versi firmware dengan jelas memakan biaya besar

    • Ini terlihat sebagai peluang bagi pesaing untuk muncul
    • Nitrokey disebut sebagai alternatif yang baik
  • Saat membeli token keamanan, ada preferensi pada produk dengan firmware dan hardware terbuka

    • Menginginkan produk yang telah diaudit secara independen
    • Akan bagus jika ada kemampuan untuk memuat dan memperbarui firmware
  • Merekomendasikan Nitrokey

    • Perangkat lunaknya tersedia secara terbuka di GitHub
  • Bersedia membeli YubiKey lama dengan harga diskon

    • Dalam model ancaman pribadi, tidak terlalu membutuhkan ketahanan tinggi terhadap kunci yang dicuri
  • Sedang berada pada tahap akhir dalam memilih token keamanan

    • YubiKey bukan lagi pilihan
    • Kecewa dengan cara penanganan cacatnya
  • Saat membeli kunci dari Yubico, ada kemungkinan menerima email penjualan yang agresif secara pasif