Три модели жёстких дисков от компании Seagate с функцией беспроводного доступа содержат уязвимость, которая позволит потенциальному злоумышленнику получить контроль над устройством. В устройство вшита недокументированная учётная запись, которая позволяет получить к нему доступ.
«Беспроводные жёсткие диски Seagate предоставляют недокументированный Telnet-сервис, для подключения которого требуется ввести стандартные логин и пароль», — говорится в уведомлении специального подразделения Министерства внутренней безопасности США.
Это не единственная уязвимость в устройствах Seagate, ещё две бреши позволяют потенциальному злоумышленнику прочесть любую информацию из устройства, а также записать на него произвольные данные.
Уязвимости присутствуют в моделях Wireless Plus Mobile Storage, Seagate Wireless Mobile Storage и LaCie Fuel.
По официальным данным, уязвимости существовали с октября 2014 года, после выпуска прошивок версии 2.2.0.005 и 2.3.0.014. Для их исправления требуется установить прошивку 3.4.1.105, которая доступна на официальном сайте Seagate (для загрузки прошивки нужно ввести серийный номер устройства).
После того, как информация о существовании уязвимостей стала публично известной, эксперты в области информационной безопасности стали активно критиковать Seagate. Так, Кенн Уайт (Kenn White), сооснователь проекта TrueCrypt, в своём твиттере написал: «Никто не рассчитывает на безопасность уровня Минобороны, но Seagate, пожалуйста, прекратите добавлять скрытые вшитые root-аккаунты в жёсткие диски».
Seagate никак не отреагировала на критику, видимо посчитав, что выпуска обновления было достаточно.