Sertifikat CA Superfish di Windows keystorePada Februari 2015, Lenovo
dinyatakan bersalah memasang malware VisualDiscovery yang dikembangkan oleh Superfish di laptop. Setelah diperiksa lebih dekat, ternyata itu adalah malware khas yang mendengarkan lalu lintas, menganalisis permintaan pencarian, dan menyuntikkan iklan pada halaman situs pihak ketiga. Aplikasi memotong, termasuk lalu lintas HTTPS. Untuk melakukan ini, ia menginstal sertifikat CA root Superfish di keystore Windows (dengan kunci pribadi untuk itu) dan proksi semua lalu lintas antara host dan browser, menggantikan sertifikat dengan miliknya.
Kamus bruteforce sederhana
dari 2203 kata menggunakan
cracker sertifikat
pemcrack menentukan kata sandi untuk kunci pribadi
komodia .
Secara umum, cerita keluar sangat tidak menyenangkan. Ternyata malware ini telah diinstal pada laptop Lenovo sejak September 2014.
Investigasi lebih lanjut mengungkapkan bahwa total malware telah diinstal pada 750.000 laptop dari model berikut: E-Series, Edge Series, Flex-Series, Seri-G, Seri Miix, Seri-S, Seri-U, Seri-Y, Seri-Y, Seri Yoga dan Z-Series.
Malware tidak hanya menyusup ke lalu lintas pengguna yang dienkripsi, tetapi berkat kunci pribadi dari sertifikat dengan kata sandi sederhana, itu berpotensi memberikan peluang bagi penyerang pihak ketiga untuk melakukan serangan MitM, yang membahayakan kerahasiaan informasi, termasuk data keuangan, dll.
Kunci pribadi untuk sertifikat Superfish CASetelah skandal meletus, Lenovo
memposting alat untuk secara otomatis menghapus Superfish dan instruksi untuk menghapusnya secara manual. Tapi ini tidak menyelamatkannya dari hukuman. Pada awalnya, pembalasan datang dalam bentuk
serangan hacker dengan deface Lenovo.com , dan sekarang perusahaan China dipaksa untuk membayar kompensasi kepada pemilik laptop yang terluka.
Gugatan class action (PDF) diajukan terhadap Lenovo di Pengadilan Distrik Federal California Utara untuk kompensasi, dan pada 21 November 2018, pengadilan untuk sementara mengabulkan klaim ini.
Namun, kasus ini tidak sampai pada pembayaran kompensasi yang ditetapkan oleh pengadilan, karena Lenovo setuju dengan perwakilan penggugat mengenai
kompensasi pra-persidangan sebesar $ 7,3 juta . Jumlah ini ditambahkan ke kompensasi sebelumnya sebesar $ 1 juta, yang telah dialokasikan Lenovo. Dengan demikian, total dana untuk pembayaran kompensasi kepada pengguna AS yang terpengaruh sekarang $ 8,3 juta.
Perlu dicatat bahwa Lenovo untuk waktu yang lama tidak setuju dengan klaim penggugat dengan alasan bahwa โtidak mengetahui pengoperasian program Superfish oleh pihak ketigaโ. Dia tetap tidak yakin, tetapi menyatakan kepuasan bahwa proses 2,5 tahun ini akhirnya berakhir. Ini dinyatakan dalam
siaran pers resmi (sudah dihapus) .
Mungkin biaya jasa hukum untuk melakukan proses tersebut harus dikurangkan dari dana tersebut. Jika kami membagi kompensasi menjadi 750.000 pengguna yang terpengaruh, maka semua orang hanya akan mendapatkan sekitar $ 10. Pada prinsipnya, ini sangat sedikit untuk menginstal proxy MitM dengan pengenalan iklan: misalnya, Amazon memberikan diskon $ 20 pada Kindle-nya jika pengguna setuju untuk melihat iklan. Jadi $ 10 per orang sangat kecil dan bahkan bermanfaat bagi Lenovo. Kecuali untuk kerusakan reputasi.
Namun dalam praktiknya, jumlah pembayaran kompensasi bisa jauh lebih kecil dari 750.000, sehingga pembayaran akan lebih dari $ 10. Kompensasi diberikan hanya untuk mereka yang membeli laptop dari model berikut di Amerika Serikat dari 1 September 2014 hingga 28 Februari 2015:
- Seri G: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G50-45
- Seri U: U430P, U430Touch, U530Touch
- Seri Y: Y40-70, Y50-70
- Seri Z: Z50-75, Z40-70, Z50-70
- Seri Flex: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 15 (BTM), Flex 10
- Seri MIIX: MIIX2-10, MIIX2-11
- Seri YOGA: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
Jumlah kompensasi yang tepat tergantung pada jumlah pengguna yang mengirimkan aplikasi ke dana tersebut. Selain uang ini, Lenovo sebelumnya membayar
dua denda sebesar $ 3,5 juta dalam perjanjian dengan Komisi Perdagangan Federal dan pihak berwenang dari 32 negara.
Di Rusia, sejauh yang diketahui, tidak ada gugatan class action yang diajukan terhadap Lenovo, sehingga tidak ada kompensasi yang diberikan.
