HP is opnieuw betrapt op het inbouwen van een “backdoor” in zijn enterprise storage oplossingen. Opnieuw, zoals voor de tweede keer dus. Foei foei.
Concreet: ze hebben een verborgen user account waarmee ze onafhankelijk van de accounts van de klant kunnen inloggen op de storage controllers. Nu zegt HP wel dat ze geen toegang hebben tot de data van de klant (het zou er nog aan mankeren), maar het zou wel mogelijk zijn om een “reset to factory defaults” te lanceren, waardoor gans het systeem ook zijn data kwijt is…
Say hello to long restore sessions and pray all backups went A-OK!
Daarbovenop zou het paswoord van die “backdoor account” zodanig simpel zijn dan het voor kwaadwilligen een “piece of cake” zou zijn om toegang te krijgen (zoals geen hoofdletters, geen speciale tekens, geen cijfers, enkel letters).
HP belooft om voor september een patch uit te brengen. Too little, too late?