Escrevo isto diretamente porque as questões levantadas em recentes relatórios de segurança merecem uma resposta imediata, não uma resposta corporativa.
Em 7 de maio de 2026, o pesquisador de segurança Andreas Makris publicou um relatório detalhado identificando vulnerabilidades graves nos sistemas de diagnóstico remoto, gerenciamento de credenciais e tratamento de dados do Yarbo. As principais conclusões técnicas são precisas. Gostaria de agradecer ao senhor Andreas Makris pelos seus esforços na identificação destas questões e pela sua persistência em chamar a nossa atenção para estas questões. Também percebi que a nossa resposta inicial não refletia adequadamente a gravidade dos problemas que ele identificou. Como cofundador, sou responsável pelo que é entregue em nosso produto e sou responsável pela resposta.
Nossas equipes técnicas, de produtos, jurídicas e de suporte ao cliente fazem da correção a mais alta prioridade. O que se segue é a minha explicação sobre o que foi descoberto, o que melhorámos, o que estamos a melhorar ativamente e o nosso compromisso em mudar a forma como operamos no futuro.
Com base em nossa análise inicial, essas questões estão relacionadas principalmente às escolhas históricas de design em partes dos sistemas de diagnóstico remoto, gerenciamento de acesso e tratamento de dados do Yarbo.
Em particular, certos suportes e manutenções legados não fornecem visibilidade ou controle suficiente aos usuários, e alguns mecanismos de autenticação e gerenciamento de credenciais não atendem aos padrões de segurança que esperamos para os produtos atuais.
Também identificamos áreas onde as permissões de acesso, a configuração do sistema back-end e o fluxo de dados entre dispositivos e serviços em nuvem exigem proteção mais forte e controles mais rígidos.
Reconhecemos a gravidade deste problema e as preocupações que pode causar aos nossos clientes e à comunidade. Pedimos sinceras desculpas pelo impacto que esta situação teve e estamos empenhados em abordar esta questão de forma transparente e responsável.
Reforçamos a segurança do sistema reduzindo caminhos de acesso legados, restringindo as permissões e migrando para credenciais totalmente auditáveis no nível do dispositivo. Para esclarecer o nosso progresso de remediação, separamos as ações já tomadas do trabalho em andamento.
O que fizemos
No que estamos trabalhando agora
Os servidores históricos e os canais de acesso legados continuarão a ser removidos um por um como parte desse processo de correção.
Também estamos acelerando as atualizações de segurança OTA e a proteção adicional do servidor. Espera-se que a primeira onda de atualizações comece a ser lançada dentro de uma semana. Importante: Uma atualização de firmware de segurança está sendo aplicada a todos os dispositivos Yarbo. Para receber essas atualizações, conecte seu Yarbo à internet. Depois que a atualização for aplicada, você poderá retornar às configurações de rede preferidas. Se você optar por deixar seu dispositivo off-line por um tempo, poderá fazê-lo sem afetar a garantia ou a cobertura do serviço. Avisaremos quando a atualização estiver pronta para que você possa se conectar por um momento para aplicá-la.
Esses esforços de correção não estão limitados a uma única correção ou atualização de software. Usamos esse processo para fortalecer a arquitetura de segurança e os padrões de governança de longo prazo por trás de nossos produtos.
Estes esforços incluem o reforço dos padrões de controlo de acesso, a melhoria dos modelos de autenticação e autorização, o aumento da visibilidade e do controlo dos utilizadores sobre as funcionalidades de diagnóstico remoto e a redução adicional de mecanismos de suporte legados desnecessários em sistemas e infra-estruturas relacionadas.
Também continuaremos a expandir os nossos processos internos de revisão, remediação e governança da segurança para apoiar práticas de segurança mais fortes e de longo prazo no futuro. Nosso objetivo é garantir que a segurança, a transparência e a confiança do usuário sejam incorporadas à base dos futuros sistemas e serviços da Yarbo.
Alguns itens do relatório externo descrevem problemas reais de segurança, enquanto outros itens requerem esclarecimento porque não se aplicam aos produtos Yarbo enviados atualmente ou não representam vulnerabilidades de segurança independentes.
Reinicialização automática e persistência de FRP
O relatório também menciona que os clientes FRP podem reiniciar por meio de tarefas agendadas ou mecanismos de recuperação de serviço. Reconhecemos que isso pode dificultar a desativação manual dos canais de acesso remoto, mas o principal problema está na existência, nas permissões e nas políticas do próprio túnel remoto. Nossa correção se concentra em desabilitar ou limitar túneis, implementar listas de permissões e recursos de auditoria e remover pontos de acesso remoto persistentes desnecessários.
Monitoramento de arquivos e auto-recuperação
O relatório menciona o comportamento de monitoramento de arquivos que pode recuperar determinados arquivos ou serviços excluídos. Este mecanismo foi originalmente projetado como uma medida defensiva de confiabilidade para evitar que arquivos de serviço críticos fossem acidentalmente excluídos ou corrompidos. Por si só, não se destina a funcionar como um recurso de acesso remoto.
Portanto, reconhecemos que qualquer mecanismo que dificulte a remoção de componentes relacionados ao acesso remoto pode criar problemas de confiança. Estamos analisando quais arquivos devem continuar protegidos e quais componentes devem ser removidos, simplificados ou colocados sob controle do usuário.
Configuração histórica ou de não produção
Algumas descobertas envolvem infraestrutura histórica, serviços de nuvem legados, personalizações específicas de revendedores ou configurações de testes internos. Isso ainda está sob revisão e sendo limpo, se necessário, mas deve ser diferenciado do comportamento padrão das unidades de produção atualmente expedidas.
Nosso objetivo é preciso: não minimizaremos os problemas de segurança confirmados, mas também queremos que os usuários entendam quais descobertas se aplicam aos dispositivos de produção, quais se aplicam apenas a configurações históricas ou personalizadas e quais estão sendo abordadas como parte de um esforço mais amplo de proteção.
Para melhorar os relatórios de segurança no futuro, lançamos um canal de resposta de segurança dedicado e um processo de contato de segurança para relatórios de vulnerabilidades e divulgação responsável:
segurança@yarbo.com
O público também poderá encontrar nossas informações de contato de segurança em Centro de Segurança Yarbo página na seção “Explorar” do nosso site oficial.
Também estamos explorando a possibilidade de estabelecer um programa formal de recompensas por bugs como parte de nossas iniciativas mais amplas de segurança de longo prazo.
Valorizamos o papel dos investigadores de segurança independentes na identificação responsável de potenciais problemas e continuamos empenhados em reforçar a segurança, a transparência e a confiança nos nossos produtos.
À medida que os esforços de investigação e remediação continuam, fornecerei mais atualizações assim que estiverem disponíveis.
Kenneth Kohlmann
Um dos fundadores, Yarbo
Nova Iorque
