HP-opslagproducten hebben geheim achterdeurtje

HP heeft daarin een beheerdersaccount 'verborgen', en heeft een tweede kopie van het besturingssysteem LeftHand meegeleverd. Daarmee kan de Support-afdeling op afstand de systemen resetten, wanneer daar behoefte aan is. De functie vervangt naar verluidt een knopje op de hardware, dat HP in 2009 om klanten tegen zichzelf in bescherming te nemen verwijderde.

Geen voorzorgsmaatregelen

HP benadrukt dat het die resetfunctie alleen zal aanroepen op uitdrukkelijk verzoek van de klant. Probleem is alleen wel dat er geen technische voorzieningen zijn genomen om te zorgen dat de klant ook instemt met zo'n reset. Dat is met name een probleem omdat dat zogenaamd verborgen beheerdersaccount niet te moeilijk te vinden is. Technion beschrijft het als volgt: "Open je favoriete SSH-client, toets het IP-adres van een HP D2D-eenheid in. Voer als gebruikersnaam HPSupport in en een wachtwoord met een SHA1-hashwaarde van 78a7ecf065324604540ad3c41c3bb8fe1d084c50. Zeg hallo tegen een beheerdersaccount waarvan je het bestaan niet kende."

Klanten met HP-opslagproducten lopen niet het risico dat langs deze weg data worden weggesluisd. Maar een kwaadwillende zou wel een chaos kunnen veroorzaken door de opslagproducten te resetten en zo de configuratie van opslagproducten in het ongerede te brengen en ook gegevens te wissen.

Hardleers

HP geeft nu impliciet toe dat dit achterdeurtje toch niet zo'n goed idee was door een patch in het vooruitzicht te stellen. Die zal uiterlijk 17 juli beschikbaar zijn. HP is wel hardleers: eerder werd al in 2010 zo'n achterdeurtje aangetroffen in de MSA200 G3-opslagsystemen (toen met de blamerende gebruikersnaam/wachtwoord-combinatie admin/admin). In 2007 bleek HP het bekritiseerde mechanisme te gebruiken in 23 modellen laptops, die daardoor kwetsbaar werden voor hacks via besmette internetsites.