Ex-werknemer Yubico hangt vuile was buiten
Een naar eigen zeggen voormalig werknemer van Yubico heeft de vuile was over zijn ex-werkgever buiten gehangen. Yubico is voornamelijk bekend van de Yubikey, een USB security token die eindgebruikers voor tal van toepassingen kan authenticeren. Volgens de man, genaamd "edjenecai", was hij een van de eerste werknemers van het bedrijf. In zijn betoog beschuldigt hij Yubico van lakse beveiliging, misbruik van mensen en het verkondigen van leugens. "Het is een nachtmerrie die mij nog steeds volgt. Ik was ziek en had erg veel pijn na twee weken met bijna geen slaap voor Yubico te werken." Vervolgens ontving de werknemer een e-mail dat hij ontslagen was.
Naast de erbarmelijke werkcondities klaagt hij ook over de beveiliging. Managers zouden waarschuwingen over beveiligingsproblemen negeren die de hele Yubikey secret key database aan hackers zouden kunnen lekken. Ook zou men geen intrusion detection gebruiken en is er ook geen vulnerability scanner aanwezig. "En het wordt gehost in één van de minst veilige datacentra, bedoeld voor startende studenten", aldus de boze ex-werknemer, die het bericht op tal van Google pagina's plaatste. We hebben Yubico om een reactie gevraagd, maar die was op het moment van schrijven nog niet binnen.
Dit kan net zo goed van een boze klant zijn gekomen, of iemand die met eenzelfde product wil starten (let op start-ups die binnen korte tijd met een vergelijkbaar ding aankomen), of yubico die in het nieuws wil komen (gratis reclame).
Het riekt mij teveel naar een hoax. Heeft iemand (bijvoorbeeld een journalist die weet door te vragen) al contact opgenomen met meneer/mevrouw "edjenecai" om meer achtergrondinfo naar boven te halen om zijn/haar beweringen mee te staven?
Ik hoop echt dat dit verhaal een staartje krijgt en de waarheid boven tafel komt.
Iedereen die dat wil kan inlogen op het yubico forum, een account aanmaken en dan roepen wat hij maar wil. Ik zat er 'live' bij toen de posting verscheen en heb gelijk het account gecontroleerd. Dat was een dag eerder pas aangemaakt. Ik vindt het verder hoogst onaannemelijk dat een IT professional dit gedrag zou vertonen - eerder stap je naar de rechter, lijkt me. Maar ik sluit me dus helemaal aan bij Peter V - eerst de andere kant van de zaak ook kennen.
Een valide punt is wel of de infrastructuur bij Yubico wel voldoende goed bestand is tegen crack pogingen. Ik neem aan dat de mensen bij Yubico nu zeer alert zijn en maatregelen nemen. Wil je echt veilig zijn, kun je de key altijd nog herprogrammeren en/of je eigen authenticatieserver opzetten.
want immer, alles is te vervalsen.
Voorbeelden die ik tegen gekomen ben zijn onder meer het zich oneigenlijk toegang verschaffen tot gevoelige gegevens, zoals salarisgegevens van het hele bedrijf, het privéadres van die leuke nieuwe secretaresse of andere dingen (meelezen met de mail van de directeur).
Maar ook de arrogantie van professionals dat de systemen hun systemen zijn waar gebruikers bij hun gratie gebruik van mogen maken, mensen die omdat ze niet zo goed met computers om kunnen gaan geen support krijgen, dat soort grappen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
