Estou escrevendo isso diretamente porque as questões levantadas em relatórios de segurança recentes precisam ser abordadas diretamente, não como empresa.
Em 7 de maio de 2026, o pesquisador de segurança Andreas Makris publicou um relatório detalhado identificando vulnerabilidades críticas nos sistemas de diagnóstico remoto, gerenciamento de credenciais e processamento de dados do Yarbo. As principais conclusões técnicas são precisas. Gostaria de agradecer a Andreas Makris pela sua persistência na identificação destas questões e em chamar-nos a atenção para elas. Reconhecemos também que a nossa resposta inicial não reflectiu adequadamente a gravidade das questões que identificou. Como cofundador, sou responsável pelo que é incluído no produto e pela forma como respondemos a isso.
Nossas equipes de engenharia, produto, jurídico e suporte ao cliente estão comprometidas com a correção como prioridade máxima. Abaixo está minha explicação sobre o que foi encontrado, o que já foi corrigido, o que está sendo corrigido ativamente e o que pretendemos mudar na forma como operamos daqui para frente.
Com base em nossa análise preliminar, os problemas estão relacionados principalmente às escolhas históricas de projeto em alguns dos sistemas de diagnóstico remoto, gerenciamento de acesso e processamento de dados da Yarbo.
Especificamente, certos recursos legados de suporte e manutenção não forneciam visibilidade ou controle suficiente aos usuários, e alguns mecanismos de autenticação e gerenciamento de credenciais não atendiam aos padrões de segurança esperados dos produtos atuais.
Também identificamos áreas que exigem proteção mais forte e controles mais rígidos em permissões, configuração de sistema de back-end e fluxo de dados entre dispositivos e serviços em nuvem.
Reconhecemos a gravidade destas questões e a preocupação que causam aos nossos clientes e comunidades. Pedimos sinceras desculpas pelo impacto que esta situação teve e estamos empenhados em abordar estas questões de forma transparente e responsável.
Fortalecemos a segurança do sistema reduzindo os caminhos de acesso tradicionais, aumentando os privilégios e migrando para credenciais totalmente auditáveis no nível do dispositivo. Para fornecer clareza sobre o progresso da remediação, separamos as ações que já foram tomadas do trabalho que está atualmente em andamento.
o que já fizemos
No que estamos trabalhando atualmente
Como parte deste processo de remediação, os servidores legados e os canais de acesso legados continuarão a ser eliminados gradualmente.
Também estamos acelerando as atualizações de segurança OTA e proteções adicionais do lado do servidor. Espera-se que a primeira onda de atualizações comece a ser lançada dentro de uma semana. importante: As atualizações de firmware de segurança são enviadas para todos os dispositivos Yarbo. Conecte o Yarbo à Internet para receber esta atualização. Depois que a atualização for aplicada, você poderá retornar às configurações de rede preferidas. Se desejar deixar seu dispositivo off-line durante esse período, você poderá fazê-lo sem afetar sua garantia ou cobertura de serviço. Você será notificado quando as atualizações estiverem prontas, para que possa conectá-las e aplicá-las facilmente.
Este esforço de remediação não se limita a uma única correção ou atualização de software. Usamos esse processo para fortalecer a arquitetura de segurança e os padrões de governança de longo prazo por trás de nossos produtos.
Estes esforços incluem o reforço dos padrões de controlo de acesso, a melhoria dos modelos de autenticação e autorização, o aumento da visibilidade dos utilizadores e o controlo sobre as capacidades de diagnóstico remoto e a redução adicional de mecanismos de suporte legados desnecessários em sistemas e infra-estruturas relacionados.
Também continuaremos a expandir os nossos processos internos de revisão, remediação e governação da segurança para apoiar o aprimoramento a longo prazo das nossas práticas de segurança. Nosso objetivo é garantir que a segurança, a transparência e a confiança do usuário sejam incorporadas à base dos futuros sistemas e serviços Yarbo.
Embora alguns itens do relatório externo descrevam problemas reais de segurança, outros itens requerem esclarecimento porque não se aplicam aos produtos Yarbo atualmente enviados ou não representam vulnerabilidades de segurança independentes.
Reinicialização automática e persistência do FRP
O relatório também afirma que os clientes FRP podem ser reiniciados através de tarefas agendadas ou mecanismos de recuperação de serviço. Entendemos que isso pode dificultar a desativação manual dos canais de acesso remoto, mas o principal problema está na existência, nas permissões e nas políticas do próprio túnel remoto. Nossa correção se concentra em desabilitar ou restringir túneis, implementar listas de permissões e recursos de auditoria e remover caminhos de acesso remoto persistentes e desnecessários.
Monitoramento de arquivos e autocorreção
Este relatório menciona operações de monitoramento de arquivos que podem restaurar determinados arquivos e serviços excluídos. Este mecanismo foi originalmente projetado como uma medida defensiva de confiabilidade para proteger arquivos de serviço críticos contra exclusão acidental ou corrupção. Como tal, não se destina a funcionar como um recurso de acesso remoto.
No entanto, reconhecemos que os mecanismos que dificultam aos utilizadores a remoção de componentes relacionados com o acesso remoto podem levantar preocupações de fiabilidade. Estamos considerando quais arquivos devem continuar protegidos e quais componentes devem ser removidos, simplificados ou colocados sob controle do usuário.
Configuração histórica ou de não produção
Algumas descobertas incluem infraestrutura histórica, serviços de nuvem legados, personalizações específicas de revendedores ou configurações de testes internos. Eles ainda estão sendo considerados e limpos conforme necessário, mas devem ser diferenciados do comportamento padrão das unidades de produção atualmente expedidas.
Nosso objetivo é ser preciso. Não pretendemos minimizar os problemas de segurança identificados, mas queremos que os usuários entendam quais descobertas se aplicam a dispositivos de produção, quais descobertas se aplicam apenas a configurações históricas ou personalizadas e quais descobertas estão sendo abordadas como parte de uma proteção mais ampla.
Inicie um canal de resposta de segurança dedicado e um processo de contato de segurança para relatórios de vulnerabilidades e divulgação responsável para melhorar relatórios de segurança futuros.
segurança@yarbo.com
O público em geral também pode encontrar nossas informações de contato de segurança. Centro de Segurança Yarbo Uma página na seção “Explorar” do site oficial.
Também estamos explorando a possibilidade de estabelecer um programa formal de recompensa por bugs como parte de nossos esforços de segurança mais amplos e de longo prazo.
Valorizamos o papel que os investigadores de segurança independentes desempenham na identificação responsável de potenciais problemas e continuamos empenhados em reforçar a segurança, a transparência e a fiabilidade dos nossos produtos.
À medida que o trabalho de investigação e remediação continua, forneceremos mais atualizações assim que estiverem disponíveis.
Kenneth Coleman
Cofundador, Yarbo
Nova Iorque
