Kemarin, aku sudah memberitahumu caranya seorang hacker menabrak saya dengan robot mesin pemotong rumput. Kami menjelaskan bagaimana ribuan robot Tiongkok berbilah ini, yang dibuat oleh Yarbo, dapat dibajak dengan mudah — memperlihatkan koordinat GPS orang, kata sandi Wi-Fi, alamat email, dan banyak lagi kepada peretas biasa yang datang.
Hari ini, Yarbo telah mengeluarkan tanggapan menyeluruh 1.200 kata yang dapat Anda baca selengkapnya di bawah ini. Perusahaan ini mengkonfirmasi temuan peneliti keamanan tersebut, meminta maaf, dan memberikan rencana terperinci untuk mengatasi banyak masalah keamanan yang mereka ciptakan sendiri. Yarbo menulis bahwa mereka telah memutus akses jarak jauh untuk sementara dan mengatasi banyak masalah yang paling mengganggu, seperti bagaimana kata sandi root sama untuk setiap robot dan dibiarkan di tempat yang mudah ditemukan oleh peretas.
“Di masa depan, setiap perangkat akan menggunakan kredensial independennya untuk mencegah satu perangkat yang terkena dampak berdampak pada seluruh armada,” tulis Yarbo. Perusahaan mengatakan gelombang pertama pembaruan keamanan akan diluncurkan dalam waktu satu minggu.
Namun yang penting adalah Yarbo bukan namun berkomitmen untuk menghilangkan satu hal yang paling meresahkan tentang robot-robot ini. Perusahaan tersebut menulis bahwa mereka masih akan memiliki pintu belakang jarak jauh ke dalam robot Yarbo, hanya saja sekarang pintu tersebut “terbatas untuk personel internal perusahaan yang berwenang, hanya dapat digunakan setelah otorisasi pengguna diperoleh, dan secara bertahap akan dimasukkan ke dalam pencatatan audit.”
Untuk lebih jelasnya, Yarbo sebelumnya telah mengklaim bahwa akses jarak jauhnya hanya tersedia untuk karyawan yang berwenang; cerita kami membuktikan bahwa itu tidak benar.
Namun memberikan keuntungan bagi perusahaan dari keraguan: mengapa tidak menghapus seluruh terowongan, atau menjadikannya instalasi opt-in? Mengapa pelanggan Yarbo tidak dapat memutuskan apakah robot mereka memiliki pintu belakang yang persisten? Saya telah menanyakan pertanyaan serupa kepada perusahaan, dan kami akan memperbarui jawabannya.
Pernyataan Yarbo juga mencoba untuk menunjukkan bahwa kerentanan yang kami lihat disebabkan oleh layanan “historis” atau “warisan”, yang menyiratkan bahwa mungkin beberapa robot perusahaan lebih aman. Kami telah menanyakan kepada Yarbo berapa persen robotnya yang ada di layanan bersejarah tersebut dibandingkan dengan yang ada saat ini.
Peneliti keamanan Andreas Makris, yang menemukan kerentanan tersebut, mengatakan dia belum dapat memeriksa apakah dia masih dapat mengaksesnya setelah perubahan Yarbo. Namun, sepertinya perusahaan menganggapnya serius sekarang. “Yarbo telah memulai komunikasi langsung dengan saya dan mengambil langkah positif dengan mendirikan pusat respons keamanan khusus. Saat ini kami sedang berdiskusi mengenai proses remediasi, dan mereka meyakinkan saya bahwa perbaikan ini adalah prioritas tertinggi mereka,” katanya.
Saya menulis ini secara langsung karena permasalahan yang diangkat dalam laporan keamanan baru-baru ini patut mendapat tanggapan langsung, bukan tanggapan korporasi.
Pada tanggal 7 Mei 2026, peneliti keamanan Andreas Makris menerbitkan laporan terperinci yang mengidentifikasi kerentanan serius dalam sistem diagnostik jarak jauh, manajemen kredensial, dan penanganan data Yarbo. Temuan teknis inti akurat. Saya ingin mengucapkan terima kasih kepada Bapak Andreas Makris atas upayanya dalam mengidentifikasi masalah-masalah ini dan atas kegigihannya dalam menyampaikan masalah ini kepada kita. Saya juga menyadari bahwa tanggapan awal kami tidak cukup mencerminkan keseriusan permasalahan yang ia identifikasi. Sebagai salah satu pendiri, saya bertanggung jawab atas apa yang dikirimkan pada produk kami, dan saya bertanggung jawab atas tanggapannya.
Tim teknis, produk, hukum, dan dukungan pelanggan kami berupaya melakukan remediasi sebagai prioritas tertinggi. Berikut ini adalah penjelasan saya mengenai hal-hal yang ditemukan, hal-hal yang telah kami perbaiki, hal-hal yang secara aktif kami perbaiki, dan komitmen kami untuk mengubah cara kami beroperasi di masa mendatang.
Berdasarkan tinjauan awal kami, masalah ini terutama berkaitan dengan pilihan desain historis di bagian sistem diagnostik jarak jauh, manajemen akses, dan penanganan data Yarbo.
Secara khusus, dukungan warisan dan kemampuan pemeliharaan tertentu tidak memberikan visibilitas atau kontrol yang memadai kepada pengguna, dan beberapa mekanisme otentikasi dan manajemen kredensial tidak memenuhi standar keamanan yang kami harapkan untuk produk saat ini.
Kami juga telah mengidentifikasi area di mana izin akses, konfigurasi sistem backend, dan aliran data antara perangkat dan layanan cloud memerlukan perlindungan yang lebih kuat dan kontrol yang lebih ketat.
Kami menyadari keseriusan masalah ini dan kekhawatiran yang mungkin ditimbulkannya terhadap pelanggan dan komunitas kami. Kami dengan tulus meminta maaf atas dampak yang ditimbulkan oleh situasi ini, dan kami berkomitmen untuk mengatasi masalah ini dengan cara yang transparan dan bertanggung jawab.
Kami memperkuat keamanan sistem dengan mengurangi jalur akses lama, memperketat izin, dan beralih ke kredensial tingkat perangkat yang sepenuhnya dapat diaudit. Untuk memperjelas kemajuan remediasi kami, kami memisahkan tindakan yang sudah diambil dari pekerjaan yang sedang berlangsung.
Apa yang Telah Kami Lakukan
Kami telah menonaktifkan sementara terowongan diagnostik jarak jauh yang relevan untuk mengurangi risiko akses tidak sah.
Kami telah menyelesaikan pengaturan ulang kata sandi root perangkat untuk memblokir sementara risiko kredensial bersama yang teridentifikasi dan mencegah perluasan masalah lebih lanjut.
Kami telah menutup atau membatasi kueri status dan titik akhir pelaporan tertentu yang tidak diautentikasi.
Kami telah mulai mengurangi jalur akses lama yang tidak perlu dan memperketat izin backend.
Yang Sedang Kami Kerjakan Saat Ini
Kami menerapkan model diagnostik jarak jauh berbasis daftar yang diizinkan, diizinkan pengguna, dan dapat diaudit. Tahap pertama diharapkan selesai dalam waktu satu minggu. Setelah diterapkan, akses diagnostik jarak jauh akan dibatasi hanya untuk personel internal perusahaan yang berwenang, hanya dapat digunakan setelah otorisasi pengguna diperoleh, dan secara bertahap akan dimasukkan ke dalam pencatatan audit.
Kami menggunakan pembaruan OTA untuk memajukan rotasi kredensial dan mekanisme kredensial independen tingkat perangkat, secara bertahap menggantikan model kata sandi bersama yang historis. Di masa depan, setiap perangkat akan menggunakan kredensial independennya sendiri untuk mencegah satu perangkat yang terkena dampak berdampak pada seluruh armada.
Kami sedang membangun dan menguji layanan manajemen kredensial robot sehingga kata sandi perangkat tidak lagi dikodekan dalam firmware, skrip, atau database. Sebaliknya, kredensial akan diperoleh secara dinamis berdasarkan identitas perangkat. Akses OPS juga akan mencatat pengunjung, alasan akses, perintah kerja, dan stempel waktu.
Kami sedang memperkuat layanan otentikasi lainnya. Perbaikan ini sedang dalam tahap pengujian dan akan dirilis melalui pembaruan OTA mendatang.
Kami menyesuaikan izin topik untuk mengurangi akses bersama tingkat armada, membatasi cakupan setiap kredensial, dan menetapkan batasan yang lebih ketat seputar perintah kontrol.
Kami sedang menguji langkah-langkah pembersihan yang mencakup penghapusan skrip pelaporan yang tidak perlu, ketergantungan layanan cloud lama, agen pihak ketiga, dan konfigurasi cadangan DNS yang tidak penting untuk mengurangi aliran data yang tidak terlihat jelas oleh pengguna. Perubahan ini akan diluncurkan melalui pembaruan OTA di masa mendatang setelah pengujian selesai.
Server historis dan saluran akses lama akan terus dihapus satu per satu sebagai bagian dari proses remediasi ini.
Kami juga mempercepat pembaruan keamanan OTA dan perlindungan sisi server tambahan. Gelombang pertama pembaruan diperkirakan akan mulai diluncurkan dalam waktu satu minggu. Penting: Pembaruan firmware keamanan sedang diterapkan ke semua perangkat Yarbo. Untuk menerima pembaruan ini, harap sambungkan Yarbo Anda ke internet. Setelah pembaruan diterapkan, Anda dapat kembali ke pengaturan jaringan pilihan Anda. Jika Anda memilih untuk membiarkan perangkat tetap offline untuk sementara waktu, Anda dapat melakukannya tanpa mempengaruhi garansi atau cakupan layanan Anda. Kami akan memberi tahu Anda ketika pembaruan sudah siap sehingga Anda dapat terhubung sebentar untuk menerapkannya.
Upaya remediasi ini tidak terbatas pada satu perbaikan atau pembaruan perangkat lunak. Kami menggunakan proses ini untuk memperkuat arsitektur keamanan jangka panjang dan standar tata kelola di balik produk kami.
Upaya-upaya ini termasuk memperkuat standar kontrol akses, meningkatkan model otentikasi dan otorisasi, meningkatkan visibilitas pengguna dan kontrol atas fitur diagnostik jarak jauh, dan selanjutnya mengurangi mekanisme dukungan lama yang tidak perlu di seluruh sistem dan infrastruktur terkait.
Kami juga akan terus memperluas proses peninjauan, remediasi, dan tata kelola keamanan internal untuk mendukung praktik keamanan jangka panjang yang lebih kuat di masa depan. Tujuan kami adalah memastikan bahwa keamanan, transparansi, dan kepercayaan pengguna dibangun menjadi fondasi sistem dan layanan Yarbo di masa depan.
Beberapa item dalam laporan eksternal menjelaskan masalah keamanan sebenarnya, sementara item lainnya memerlukan klarifikasi karena item tersebut tidak berlaku untuk produk Yarbo yang saat ini dikirimkan atau tidak mewakili kerentanan keamanan independen.
Restart Otomatis dan Kegigihan FRP
Laporan tersebut juga menyebutkan bahwa klien FRP dapat memulai ulang melalui tugas terjadwal atau mekanisme pemulihan layanan. Kami mengakui bahwa hal ini dapat membuat penonaktifan saluran akses jarak jauh secara manual menjadi lebih sulit, namun permasalahan intinya terletak pada keberadaan, izin, dan kebijakan terowongan jarak jauh itu sendiri. Remediasi kami berfokus pada penonaktifan atau pembatasan terowongan, penerapan daftar izin dan kemampuan audit, serta penghapusan jalur akses jarak jauh persisten yang tidak diperlukan.
Pemantauan File dan Pemulihan Diri
Laporan tersebut menyebutkan perilaku pemantauan file yang dapat memulihkan file atau layanan tertentu yang terhapus. Mekanisme ini awalnya dirancang sebagai ukuran keandalan defensif untuk mencegah file layanan penting terhapus atau rusak secara tidak sengaja. Dengan sendirinya, ini tidak dimaksudkan untuk berfungsi sebagai fitur akses jarak jauh.
Oleh karena itu, kami menyadari bahwa mekanisme apa pun yang mempersulit penghapusan komponen terkait akses jarak jauh dapat menimbulkan masalah kepercayaan. Kami sedang meninjau file mana yang harus terus dilindungi dan komponen mana yang harus dihapus, disederhanakan, atau ditempatkan di bawah kendali pengguna.
Konfigurasi Historis atau Non-Produksi
Beberapa temuan melibatkan infrastruktur historis, layanan cloud lama, penyesuaian khusus dealer, atau konfigurasi pengujian internal. Hal ini masih dalam peninjauan dan sedang dibersihkan jika diperlukan, namun hal ini harus dibedakan dari perilaku default unit produksi yang dikirimkan saat ini.
Sasaran kami adalah tepatnya: kami tidak akan meminimalkan masalah keamanan yang terkonfirmasi, namun kami juga ingin pengguna memahami temuan mana yang berlaku untuk perangkat produksi, yang hanya berlaku untuk konfigurasi historis atau yang disesuaikan, dan mana yang sedang ditangani sebagai bagian dari upaya penguatan yang lebih luas.
Untuk meningkatkan pelaporan keamanan di masa depan, kami meluncurkan saluran respons keamanan khusus dan proses kontak keamanan untuk laporan kerentanan dan pengungkapan yang bertanggung jawab:
Masyarakat juga akan dapat menemukan informasi kontak keamanan kami di Pusat Keamanan Yarbo halaman di bawah bagian “Jelajahi” di situs web resmi kami.
Kami juga menjajaki kemungkinan untuk membentuk program bug bounty formal sebagai bagian dari inisiatif keamanan jangka panjang kami yang lebih luas.
Kami menghargai peran peneliti keamanan independen dalam mengidentifikasi potensi masalah secara bertanggung jawab, dan kami tetap berkomitmen untuk memperkuat keamanan, transparansi, dan kepercayaan pada produk kami.
Seiring dengan berlanjutnya penyelidikan dan upaya remediasi, saya akan memberikan pembaruan lebih lanjut jika sudah tersedia.
Kenneth Kohlmann
Salah satu pendiri, Yarbo
New York
