HP installeert achterpoortjes in storage-producten
HP heeft moeten toegeven dat het geheime achterpoortjes inbouwt in zijn storageproducten die het aan grote bedrijven verkoopt. De biecht in een beveiligingsbulletin volgt op een blogpost die de beveiligingsproblemen in een HP StoreOnce-systeem bloot legt.
In het bulletin geeft HP toe dat alle HP StoreVirtual Storage-systemen uitgerust zijn met een ‘mechanisme dat de HP Support toestaat om het onderliggende besturingsysteem te benaderen als daartoe de toestemming wordt gegeven door de klant.’
De toestemming van de klant is enkel vereist volgens de regels die HP voor zichzelf heeft opgesteld. Technisch is het perfect mogelijk om de opslagproducten buiten het medeweten van de klant om te banderen.
Het toegangspunt is een verborgen administratoraccount met root-toegang tot de StoreVirtual-systemen en –software en een van LeftHand OS, de software op HP’s StoreVirtual- en HP P4000- producten.
De root-toegang zou wel nog geen toegang verlenen tot de gegevens op het opslagapparaat, maar je kan er wel behoorlijk wat schade en gegevensverlies mee aanrichten.
