Twitterstorm mot Yubico
Uppdatering: Markus har nu skrivit ett blogginlägg om händelsen. Tipstack till John
Uppdatering 2: Yubico har gjort en pudel och uppdaterat sin blogg.
En twitter-storm har uppstått på grund av att Yubico hävdas ha kopierat forskning som presenterats under konferensen Offensive Con av Markus Vervier samt antisnatchor.
Forskningen som presenterades under konferensen påvisar en eller flera svagheter i WebUSB som används av bl.a. 2FA nycklar såsom Yubikeys. Chrome stödjer WebUSB och delade ut en belöning på $5000 till Yubico som i sin tur donerade pengarna till Girls Who Code, här kan du hitta Yubicos advisory ”WebUSB Bypass of U2F Phishing Protection”.
Yubico hävdar dock att det säkerhetsproblem som upptäcktes av dem var mycket större än det som presenterades av Markus och antisnatchor:
Our own researchers quickly discovered there was a broader set of security concerns within WebUSB that affected the entire ecosystem of FIDO U2F authenticators
En av många twitterinlägg från upprörda personer:
@Yubico I’m starting to think maybe I should look for another provider to get our security keys. https://t.co/ljWTLeW1mQ
— Mark Kosier (@Nerdie_Tech) June 15, 2018
Den som vill se presentationen från Offensive Con så finns den här: