Yarbo promette di riparare il robot rasaerba che mi ha investito.
Cosa Abbiamo Già Fatto
Abbiamo temporaneamente disabilitato i tunnel di diagnostica remota pertinenti per ridurre il rischio di accessi non autorizzati. È stato completato un ripristino delle password di root dei dispositivi per bloccare temporaneamente il rischio di credenziali condivise e prevenire ulteriori espansioni del problema. Inoltre, abbiamo chiuso o ristretto alcuni endpoint di query e reporting non autenticati e abbiamo iniziato a ridurre i percorsi di accesso legacy non necessari e a restringere le autorizzazioni del backend.
Cosa Stiamo Lavorando Attualmente
Attualmente, stiamo implementando un modello di diagnostica remota autorizzato dagli utenti e basato su una lista di autorizzazione che sarà auditabile. La prima fase è prevista per essere completata entro una settimana. Una volta implementato, l’accesso alla diagnostica remota sarà limitato al personale interno autorizzato dell’azienda e potrà essere utilizzato solo dopo aver ottenuto l’autorizzazione dell’utente.
Utilizziamo aggiornamenti OTA per avanzare nella rotazione delle credenziali e nei meccanismi indipendenti di livello dispositivo, sostituendo gradualmente il modello di password condivise. In futuro, ogni dispositivo utilizzerà le proprie credenziali indipendenti per prevenire che un dispositivo compromesso impatti l’intera flotta. Stiamo sviluppando e testando un servizio automatizzato di gestione delle credenziali affinché le password dei dispositivi non siano più codificate nel firmware, negli script o nei database.
Per migliorare la sicurezza in generale, stiamo rafforzando altri servizi di autenticazione, e queste correzioni sono attualmente in fase di test. Stiamo anche modificando le autorizzazioni sui temi per ridurre l’accesso condiviso a livello di flotta e stabilire confini più severi intorno ai comandi di controllo.
Risolviamo inoltre misure di pulizia che includono l’eliminazione di script di reporting non necessari e la rimozione di dipendenze da servizi cloud legacy. Questi cambiamenti saranno implementati attraverso futuri aggiornamenti OTA, una volta completati i test. I server storici e i canali di accesso legacy continueranno a essere eliminati gradualmente come parte di questo processo di risoluzione.
Acceleriamo anche gli aggiornamenti di sicurezza OTA e ulteriori protezioni a livello server. La prima ondata di aggiornamenti è prevista entro una settimana. Nomina importante: un aggiornamento del firmware di sicurezza verrà inviato a tutti i dispositivi Yarbo.
Fonti ufficiali:
Siamo impegnati a rafforzare l’architettura di sicurezza a lungo termine e gli standard di governance dei nostri prodotti, e invitiamo tutti a partecipare al nostro programma di risposta e di contatto per segnalazioni di vulnerabilità.
Kenneth Kohlmann
Co-fondatore, Yarbo
New York
Non perderti tutte le notizie di tecnologia su Blog.it
About The Author
