Yubico maakt excuses aan onderzoekers over WebUSB-lek
Securitybedrijf Yubico heeft excuses gemaakt aan twee onderzoekers die stelden dat het bedrijf er met hun onderzoek vandoor was gegaan. Onderzoekers Markus Vervier en Michele Orrù hadden een kwetsbaarheid in de WebUSB-implementatie van Google Chrome ontdekt.
Via WebUSB kunnen webapplicaties, na toestemming van de gebruiker, met aangesloten usb-apparaten communiceren. Yubico is de fabrikant van de YubiKey, een usb-apparaatje waarmee op allerlei accounts en diensten kan worden ingelogd. Eerder dit jaar demonstreerden onderzoekers Vervier en Orrù hoe tokens zoals de YubiKey via WebUSB kunnen worden omzeild.
Naar aanleiding van berichtgeving over de demonstratie nam Yubico op 2 maart contact op met de onderzoekers, die vervolgens nog niet geopenbaarde details gaven. Ook vertelden de onderzoekers dat het waarschijnlijk mogelijk was om via WebUSB toegang tot Human Interface Devices (HID) te krijgen. Dit zijn apparaten die rechtstreeks met mensen communiceren en invoer kunnen verwerken, zoals toetsenborden. Op 3 maart meldden Vervier en Orrù het HID-probleem via de Chromium-bugtracker.
Op 13 juni publiceerde Yubico een blogposting waarin het meldde dat het een ernstig probleem met WebUSB had ontdekt en gemeld en hiervoor een beloning van 5.000 dollar van Google had ontvangen. Nergens in de advisory van Yubico werden Vervier en Orrù bij naam genoemd. Iets wat voor felle kritiek van de onderzoekers en anderen zorgde. Daarnaast kregen de twee ook geen beloning van Google. Nu laat Yubico in een nieuwe reactie weten dat het de onderzoekers niet voldoende krediet heeft gegeven en maakt het excuses.
Het bedrijf zegt dat het een fout heeft gemaakt door de onderzoekers niet in het eigen beveiligingsbulletin te vermelden. Toch stelt Yubico dat het de HID-kwetsbaarheid, die het op 5 maart bij Google rapporteerde, zelf heeft ontdekt. Pas op 13 juni ontdekte het bedrijf naar eigen zeggen dat Vervier en Orrù de HID-kwetsbaarheden ook hadden gevonden en bij Google hadden gerapporteerd. Google heeft echter nu ook aan de twee onderzoekers een beloning van 5.000 dollar toegekend.
Als je contact met onderzoekers opneemt, ze wel uit hoort maar zelf niets terug geeft, dan is de intentie niet eerlijk delen.
Als je een persbericht schrijft en je weet dat je hulp hebt gebruikt van onderzoekers maar alleen je eigen naam noemt dan is de intentie niet om aandacht aan de onderzoekers te geven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.