HP gibt zu, ein nicht offizielles Administratorenkonto in seine StoreVirtual-Produkte eingebaut zu haben. Das Problem war schon seit 2009 bekannt und wurde nun durch einen Blogger veröffentlicht. Seitdem haben mehrere HP-User dies bestätigt und als Beweis sogar die Zugangsdaten und Passwörter dafür vorgelegt.

HP hat nun folgende Sicherheitsanweisung veröffentlicht:

„Alle HP-StoreVirtual-Speichersysteme sind mit einem Mechanismus ausgestattet, der dem HP-Support Zugang zum zugrunde liegenden Betriebssystem ermöglicht, wenn die Zugangsberechtigungen dafür vom Kunden zugelassen werden. Diese Funktion kann bis heute nicht deaktiviert werden. HP hat diese Sicherheitslücke erkannt und wird seinen Kunden bis zum 17. Juli ein entsprechendes Patch zur Verfügung stellen, das ihnen erlaubt, die Support-Zugangsberechtigung zu deaktivieren.“

Weiterhin legt HP dar, dass

„Root-Zugang zum LeftHand OS nicht gleichzeitig Zugang zu den gespeicherten Anwenderdaten ermöglicht.“

Obwohl diese Daten wohl nicht durch die Hintertür zugänglich sind, hat ein Anwender mit etwa 50 TB StoreVirtual-Kapazität angemerkt, dass die Sicherheitslücke ausreichen würde, um Knoten in einer Gruppe neu zu booten. Und natürlich wäre dann noch die Option „Auf Standardeinstellungen zurücksetzen“, welche alle Anwenderdaten auslöschen würde.

Artikel von theregister.co.uk, 11.07.2013: HP admits to backdoors in storage products