Son güvenlik raporunda ortaya çıkan sorunlara doğrudan bir yanıt verilmesi gerektiğini düşünüyorum.
7 Mayıs 2026 tarihinde güvenlik araştırmacısı Andreas Makris, Yarbo’nun uzaktan tanılama, kimlik yönetimi ve veri işleme sistemlerindeki ciddi güvenlik açıklarını tespit eden detaylı bir rapor yayımladı. Temel teknik bulgular doğrudur. Bu sorunları ortaya çıkardığı ve dikkatimize sunduğu için Mr. Andreas Makris’e teşekkür ediyorum. İlk yanıtımızın, belirttiği sorunların ciddiyetini yeterince yansıtmadığını kabul ediyorum. Kurucu ortak olarak, ürünlerimizin kalitesinden ve buna yönelik yanıtımızdan sorumluyum.
Mühendislik, ürün, hukuk ve müşteri destek ekiplerimiz bu sorunların giderilmesi için en yüksek önceliği veriyor. Aşağıda, tespit edilen sorunlar, çözüm aşamasında olanlar ve gelecekteki operasyon şeklimizde taahhüt ettiğimiz değişikliklere dair bilgiler bulunmaktadır.
Ön incelememize göre, sorunlar esasen Yarbo’nun uzaktan tanılama, erişim yönetimi ve veri işleme sistemlerinin tarihsel tasarım tercihlerinden kaynaklanmaktadır.
Özellikle bazı eski destek ve bakım yetenekleri, kullanıcılara yeterli görünürlük veya kontrol sağlamamaktadır; ayrıca bazı kimlik doğrulama ve yetkilendirme mekanizmaları, günümüzdeki ürünler için beklediğimiz güvenlik standartlarını karşılamamaktadır.
Ayrıca, erişim izinleri, arka uç sistem yapılandırmaları ve cihazlar ile bulut hizmetleri arasındaki veri akışının daha güçlü korumalar ve sıkı kontroller gerektirdiğini tespit ettik.
Bu sorunların ciddiyetinin farkındayız ve müşterilerimiz ve topluluğumuzda neden olabileceği endişelerin bilincindeyiz. Bu durumun yarattığı etkiler için içtenlikle üzgün olduğumuzu belirtmek isteriz ve bu sorunları şeffaf ve sorumlu bir şekilde çözmeye kararlıyız.
Eski erişim yollarını azaltarak, izinleri sıkılaştırarak ve tamamen denetlenebilir cihaz düzeyindeki kimlik bilgilerine geçiş yaparak sistem güvenliğimizi güçlendiriyoruz. Yapılan işlerin ilerlemesini daha belirgin hale getirmek amacıyla, daha önce alınan eylemleri ve şu anda devam eden görevleri ayıracağız.
Gerçekleştirilenler
Şu Anda Üzerinde Çalıştığımız Konular
Eski sunucular ve erişim kanalları, bu iyileştirme sürecinin bir parçası olarak birer birer devre dışı bırakılacaktır.
Ayrıca, OTA güvenlik güncellemelerini hızlandırıyor ve ek sunucu tarafı korumaları sağlıyoruz. İlk güncelleme dalgasının önümüzdeki bir hafta içinde dağıtılması bekleniyor. Önemli: Tüm Yarbo cihazlarına bir güvenlik yazılım güncellemesi uygulanmaktadır. Bu güncellemeyi almak için lütfen Yarbo’nuzu internete bağlayın. Güncelleme uygulandıktan sonra, tercih ettiğiniz ağ ayarlarına geri dönebilirsiniz. Bu süreçte cihazınızı çevrimdışı tutmak isterseniz, garanti veya hizmet kapsamınızı etkilemeden bunu yapabilirsiniz. Güncelleme hazır olduğunda, bağlanabilmeniz için size bildirimde bulunacağız.
Bu iyileştirme çabası, tek bir düzeltme veya yazılım güncellemesiyle sınırlı değildir. Ürünlerimizin arkasındaki uzun vadeli güvenlik mimarisini ve yönetim standartlarını güçlendirmek için bu süreci kullanıyoruz.
Bu çabalar, erişim kontrol standartlarını güçlendirme, kimlik doğrulama ve yetkilendirme modellerini geliştirme, uzaktan tanılama özellikleri üzerinden kullanıcı görünürlüğü ve kontrolünü artırma ile ilgili sistemlerde ve altyapılarda gereksiz eski destek mekanizmalarını daha da azaltmayı içermektedir.
Ayrıca, daha güçlü uzun vadeli güvenlik uygulamalarını desteklemek amacıyla iç güvenlik gözden geçirme, iyileştirme ve yönetim süreçlerimizi genişletmeye devam edeceğiz. Amacımız, gelecek Yarbo sistemleri ve hizmetlerinin temeline güvenliği, şeffaflığı ve kullanıcı güvenini inşa etmektir.
Dış rapordaki bazı maddeler gerçek güvenlik sorunlarını tarif ederken, diğerlerinin açıklığa kavuşturulması gerekmektedir çünkü mevcut Yarbo ürünlerine uygulanmamaktadır veya bağımsız güvenlik açıkları olarak nitelendirilmemektedir.
FRP Otomatik Yeniden Başlatma ve Süreklilik
Raporda ayrıca FRP istemcisinin planlı görevler veya hizmet kurtarma mekanizmaları aracılığıyla yeniden başlatılabileceği belirtilmektedir. Bunun, uzaktan erişim kanallarını manuel olarak devre dışı bırakmayı zorlaştırdığının farkındayız, ancak temel sorun, uzaktan tünelin kendisinin varlığı, izinleri ve politikasıdır. İyileştirme sürecimiz, tünelleri devre dışı bırakmaya veya kısıtlamaya, izinli liste oluşturmaya ve denetilebilirlik sağlamaya, gereksiz kalıcı uzaktan erişim yollarını kaldırmaya odaklanmaktadır.
Dosya İzleme ve Kendini Yeniden Kurtarma
Raporda belirli dosyaların veya hizmetlerin geri yüklenmesini sağlayan dosya izleme davranışından bahsedilmektedir. Bu mekanizma, kritik hizmet dosyalarının kazara silinmesini veya bozulmasını önlemek için savunma amaçlı bir güvenilirlik önlemi olarak tasarlanmıştır. Kendi başına, uzaktan erişim özelliği olarak işlev görmesi amacıyla tasarlanmamıştır.
Ancak, kullanıcıların uzaktan erişimle ilgili bileşenleri kaldırmasını zorlaştıran herhangi bir mekanizmanın güven sorunu yaratabileceğini kabul ediyoruz. Hangi dosyaların korunmaya devam edeceği ve hangi bileşenlerin kaldırılması, sadeleştirilmesi veya kullanıcı kontrolüne bırakılması gerektiğini gözden geçiriyoruz.
Tarihsel veya Üretim Dışı Yapılandırmalar
Bazı bulgular, tarihsel altyapı, eski bulut hizmetleri, bayiye özel özelleştirmeler veya iç test yapılandırmaları ile ilgilidir. Bu konular gözden geçirilmekte ve gerektiğinde temizlenmektedir, ancak şu anda gönderilen üretim birimlerinin varsayılan davranışından ayrıştırılmalıdır.
Amacımız, net olmak: onaylanmış güvenlik sorunlarını asla küçümsemeyeceğiz, ancak kullanıcıların hangi bulguların üretim cihazlarına, hangilerinin yalnızca tarihsel veya özelleştirilmiş yapılandırmalara uygulandığını ve hangilerinin daha geniş güçlendirme çabalarının bir parçası olarak ele alındığını anlamasını istiyoruz.
Gelecekte güvenlik raporlamasını iyileştirmek amacıyla, bir güvenlik yanıt kanalı ve güvenlik iletişim süreci başlatarak zafiyet raporları ve sorumlu açıklamalar için özel bir iletişim alanı oluşturacağız:
Kamu, ayrıca resmi web sitemizin “Keşfet” bölümünde yer alan Yarbo Güvenlik Merkezi sayfasındaki güvenlik iletişim bilgilerini bulabilecektir.
Aynı zamanda, daha geniş uzun vadeli güvenlik girişimlerimizin bir parçası olarak resmi bir hata ödül programı kurma olasılığını da araştırıyoruz.
Bağımsız güvenlik araştırmacılarının potansiyel sorunları sorumlu bir şekilde tespit etme rolünü takdir ediyoruz ve ürünlerimizin güvenliğini, şeffaflığını ve güvenilirliğini güçlendirmeye devam etmeye kararlıyız.
Araştırma ve iyileştirme çalışmaları devam ederken, yeni gelişmelerle ilgili güncellemeleri sizlerle paylaşacağım.
Kenneth Kohlmann
Kurucu Ortak, Yarbo
New York
