मैं इसे सीधे इसलिए लिख रहा हूं क्योंकि हालिया सुरक्षा रिपोर्ट में उठाए गए मुद्दे सीधे प्रतिक्रिया के पात्र हैं, कॉर्पोरेट प्रतिक्रिया के नहीं।
7 मई, 2026 को, सुरक्षा शोधकर्ता एंड्रियास माक्रिस ने यार्बो के रिमोट डायग्नोस्टिक, क्रेडेंशियल प्रबंधन और डेटा-हैंडलिंग सिस्टम में गंभीर कमजोरियों की पहचान करते हुए एक विस्तृत रिपोर्ट प्रकाशित की। मुख्य तकनीकी निष्कर्ष सटीक हैं। मैं इन मुद्दों की पहचान करने में उनके काम और उन्हें हमारे ध्यान में लाने में उनकी दृढ़ता के लिए श्री एंड्रियास माक्रिस को धन्यवाद देना चाहता हूं। मैं यह भी मानता हूं कि हमारी प्रारंभिक प्रतिक्रिया उनके द्वारा पहचाने गए मुद्दों की गंभीरता को पर्याप्त रूप से प्रतिबिंबित नहीं करती है। सह-संस्थापक के रूप में, मैं हमारे उत्पादों पर भेजे गए चीज़ों के लिए जवाबदेह हूं, और मैं प्रतिक्रिया के लिए जवाबदेह हूं।
हमारी इंजीनियरिंग, उत्पाद, कानूनी और ग्राहक सहायता टीमें सर्वोच्च प्राथमिकता के रूप में निवारण पर काम कर रही हैं। जो पाया गया, जो हमने पहले ही तय कर लिया है, हम सक्रिय रूप से क्या ठीक कर रहे हैं, और हम आगे चलकर अपने संचालन में क्या बदलाव करने के लिए प्रतिबद्ध हैं, इसके बारे में मेरा विवरण इस प्रकार है।
हमारी प्रारंभिक समीक्षा के आधार पर, मुद्दे मुख्य रूप से यारबो के रिमोट डायग्नोस्टिक, एक्सेस प्रबंधन और डेटा हैंडलिंग सिस्टम के कुछ हिस्सों में ऐतिहासिक डिजाइन विकल्पों से संबंधित हैं।
विशेष रूप से, कुछ विरासत समर्थन और रखरखाव क्षमताएं उपयोगकर्ताओं को पर्याप्त दृश्यता या नियंत्रण प्रदान नहीं करती थीं, और कुछ प्रमाणीकरण और क्रेडेंशियल प्रबंधन तंत्र उन सुरक्षा मानकों को पूरा नहीं करते थे जिनकी हम आज के उत्पादों के लिए अपेक्षा करते हैं।
हमने उन क्षेत्रों की भी पहचान की है जहां एक्सेस अनुमतियों, बैकएंड सिस्टम कॉन्फ़िगरेशन और उपकरणों और क्लाउड सेवाओं के बीच डेटा प्रवाह के लिए मजबूत सुरक्षा और सख्त नियंत्रण की आवश्यकता होती है।
हम इन मुद्दों की गंभीरता और उनके कारण हमारे ग्राहकों और समुदाय के लिए उत्पन्न होने वाली चिंताओं को पहचानते हैं। इस स्थिति के कारण हुए प्रभाव के लिए हम ईमानदारी से माफी मांगते हैं, और हम इन मुद्दों को पारदर्शी और जिम्मेदार तरीके से संबोधित करने के लिए प्रतिबद्ध हैं।
हम लीगेसी एक्सेस पथों को कम करके, अनुमतियों को कड़ा करके और पूरी तरह से ऑडिट करने योग्य डिवाइस-स्तरीय क्रेडेंशियल्स की ओर बढ़ कर सिस्टम सुरक्षा को मजबूत कर रहे हैं। अपनी सुधारात्मक प्रगति को स्पष्ट करने के लिए, हम पहले से की गई कार्रवाइयों को उस कार्य से अलग कर रहे हैं जो वर्तमान में प्रगति पर है।
हम पहले ही क्या कर चुके हैं
हम अभी किस पर काम कर रहे हैं
इस सुधार प्रक्रिया के हिस्से के रूप में ऐतिहासिक सर्वर और लीगेसी एक्सेस चैनल एक-एक करके चरणबद्ध होते रहेंगे।
हम ओटीए सुरक्षा अपडेट और अतिरिक्त सर्वर-साइड सुरक्षा में भी तेजी ला रहे हैं। अपडेट की पहली लहर एक सप्ताह के भीतर शुरू होने की उम्मीद है। महत्वपूर्ण: सभी यार्बो डिवाइसों पर एक सुरक्षा फ़र्मवेयर अपडेट भेजा जा रहा है। इस अपडेट को प्राप्त करने के लिए, कृपया अपने यार्बो को इंटरनेट से कनेक्ट करें। एक बार अपडेट लागू हो जाने के बाद, आप अपनी पसंदीदा नेटवर्क सेटिंग्स पर वापस लौट सकते हैं। यदि आप इस बीच अपने डिवाइस को ऑफ़लाइन रखना पसंद करते हैं, तो आप अपनी वारंटी या सेवा कवरेज को प्रभावित किए बिना ऐसा कर सकते हैं। अपडेट तैयार होने पर हम आपको सूचित करेंगे ताकि आप इसे लागू करने के लिए संक्षेप में कनेक्ट कर सकें।
यह सुधारात्मक प्रयास किसी एक सुधार या सॉफ़्टवेयर अद्यतन तक सीमित नहीं है। हम अपने उत्पादों के पीछे दीर्घकालिक सुरक्षा वास्तुकला और शासन मानकों को मजबूत करने के लिए इस प्रक्रिया का उपयोग कर रहे हैं।
इन प्रयासों में पहुंच नियंत्रण मानकों को मजबूत करना, प्रमाणीकरण और प्राधिकरण मॉडल में सुधार करना, दूरस्थ नैदानिक सुविधाओं पर उपयोगकर्ता दृश्यता और नियंत्रण बढ़ाना और संबंधित प्रणालियों और बुनियादी ढांचे में अनावश्यक विरासत समर्थन तंत्र को कम करना शामिल है।
हम आगे चलकर मजबूत दीर्घकालिक सुरक्षा प्रथाओं का समर्थन करने के लिए अपनी आंतरिक सुरक्षा समीक्षा, सुधार और शासन प्रक्रियाओं का विस्तार भी जारी रखेंगे। हमारा लक्ष्य यह सुनिश्चित करना है कि सुरक्षा, पारदर्शिता और उपयोगकर्ता का विश्वास भविष्य के यारबो सिस्टम और सेवाओं की नींव में निर्मित हो।
बाहरी रिपोर्ट में कुछ आइटम वास्तविक सुरक्षा मुद्दों का वर्णन करते हैं, जबकि अन्य को स्पष्टीकरण की आवश्यकता होती है क्योंकि वे वर्तमान में भेजे गए यारबो उत्पादों पर लागू नहीं होते हैं या स्वतंत्र सुरक्षा कमजोरियों का प्रतिनिधित्व नहीं करते हैं।
एफआरपी ऑटो-रीस्टार्ट और दृढ़ता
रिपोर्ट में यह भी उल्लेख किया गया है कि एफआरपी क्लाइंट निर्धारित कार्यों या सेवा पुनर्प्राप्ति तंत्र के माध्यम से पुनरारंभ हो सकता है। हम स्वीकार करते हैं कि इससे रिमोट एक्सेस चैनलों को मैन्युअल रूप से अक्षम करना अधिक कठिन हो सकता है, लेकिन मुख्य मुद्दा रिमोट टनल के अस्तित्व, अनुमतियों और नीति में निहित है। हमारा समाधान सुरंगों को अक्षम या प्रतिबंधित करने, अनुमति सूची और ऑडिटेबिलिटी शुरू करने और अनावश्यक लगातार दूरस्थ पहुंच पथों को हटाने पर केंद्रित है।
फ़ाइल निगरानी और स्व-पुनर्प्राप्ति
रिपोर्ट में फ़ाइल निगरानी व्यवहार का उल्लेख किया गया है जो कुछ हटाई गई फ़ाइलों या सेवाओं को पुनर्स्थापित कर सकता है। यह तंत्र मूल रूप से महत्वपूर्ण सेवा फ़ाइलों को गलती से हटाए जाने या दूषित होने से बचाने के लिए एक रक्षात्मक विश्वसनीयता उपाय के रूप में डिज़ाइन किया गया था। अपने आप में, इसका उद्देश्य रिमोट एक्सेस सुविधा के रूप में कार्य करना नहीं था।
जैसा कि कहा गया है, हम मानते हैं कि कोई भी तंत्र जो रिमोट-एक्सेस-संबंधित घटकों को उपयोगकर्ताओं के लिए हटाना मुश्किल बनाता है, विश्वास संबंधी चिंताएं पैदा कर सकता है। हम समीक्षा कर रहे हैं कि किन फाइलों को सुरक्षित रखा जाना चाहिए और किन घटकों को हटाया जाना चाहिए, सरल बनाया जाना चाहिए या उपयोगकर्ता के नियंत्रण में रखा जाना चाहिए।
ऐतिहासिक या गैर-उत्पादन कॉन्फ़िगरेशन
कुछ निष्कर्षों में ऐतिहासिक बुनियादी ढाँचा, विरासती क्लाउड सेवाएँ, डीलर-विशिष्ट अनुकूलन या आंतरिक परीक्षण कॉन्फ़िगरेशन शामिल हैं। ये समीक्षाधीन हैं और जहां आवश्यक हो वहां इन्हें साफ किया जा रहा है, लेकिन इन्हें वर्तमान में शिप की गई उत्पादन इकाइयों के डिफ़ॉल्ट व्यवहार से अलग किया जाना चाहिए।
हमारा लक्ष्य सटीक होना है: हम पुष्टि किए गए सुरक्षा मुद्दों को कम नहीं करेंगे, लेकिन हम यह भी चाहते हैं कि उपयोगकर्ता यह समझें कि कौन से निष्कर्ष उत्पादन उपकरणों पर लागू होते हैं, जो केवल ऐतिहासिक या अनुकूलित कॉन्फ़िगरेशन पर लागू होते हैं, और जिन्हें व्यापक सख्त प्रयासों के हिस्से के रूप में संबोधित किया जा रहा है।
भविष्य में सुरक्षा रिपोर्टिंग में सुधार करने के लिए, हम भेद्यता रिपोर्ट और जिम्मेदार प्रकटीकरण के लिए एक समर्पित सुरक्षा प्रतिक्रिया चैनल और सुरक्षा संपर्क प्रक्रिया शुरू कर रहे हैं:
Security@yarbo.com
जनता हमारी सुरक्षा संपर्क जानकारी भी पा सकेगी यार्बो सुरक्षा केंद्र हमारी आधिकारिक वेबसाइट के “एक्सप्लोर” अनुभाग के अंतर्गत पृष्ठ।
हम अपनी व्यापक दीर्घकालिक सुरक्षा पहल के हिस्से के रूप में एक औपचारिक बग बाउंटी कार्यक्रम स्थापित करने की संभावना भी तलाश रहे हैं।
हम संभावित मुद्दों की जिम्मेदारीपूर्वक पहचान करने में स्वतंत्र सुरक्षा शोधकर्ताओं की भूमिका की सराहना करते हैं, और हम अपने उत्पादों की सुरक्षा, पारदर्शिता और विश्वसनीयता को मजबूत करने के लिए प्रतिबद्ध हैं।
जैसे-जैसे जांच और सुधार कार्य जारी रहेगा, मैं उपलब्ध होते ही और अपडेट प्रदान करूंगा।
केनेथ कोहल्मन
सह-संस्थापक, यार्बो
न्यूयॉर्क
