Mellom august 2014 og juni 2017 kom 750 000 Lenovo-laptoper preinstallert med ondsinnet programvare som gjorde at et «mann-i-midten-angrep» var enkelt å gjennomføre.
Nå har den kinesiske datagiganten inngått et forlik med amerikanske Federal Trade Commission (FTC).
34 millioner kroner
Lenovo har sagt seg villige til å tilbakebetale 34 millioner kroner til 32 amerikanske stater som hadde kjøpt inn Lenovo-maskiner i det aktuelle tidsrommet.
– Alle i verdikjeden må følge med på hva som blir levert ut til forbrukerne. At dette kunne skje med en av verdens største PC-produsenter, sender en viktig melding, sier formann i den amerikanske handelskommisjonen Maureen Ohlhausen i en kommentar til den amerikanske avisen Inverse.
Visualdiscovery
Den ondsinnede programvaren med navnet Visualdiscovery, levert av selskapet Superfish, gjorde det mulig for angriperen å se på alt som skjedde på offerets datamaskin.
Programvaren gjorde det mulig å lese epost, se innloggingsinformasjon, passord og lignende på ofrenes maskiner.
– Skal du som produsent installere en spesiell programvare, må du først sjekke hva programvaren samler inn, forteller kunden at programvaren eventuelt samler inn informasjon, og opplyse om at tredjepartsprogramvare faktisk utgjør en risiko, konstaterer Ohlhausen i FTC.
Visste ikke, men får refs
Selv om det er funnet sannsynlig at den meriterte dataprodusenten ikke har kjent til hva den preinstallerte programvaren har gjort, får de refs for ikke å ha satt seg godt nok inn i hva slags programvare de har sendt ut med maskinene fra fabrikk.
Amerikanske FTC har også gjort det klart at Lenovo må be forbrukerne om lov til å installere adware på maskinen, før de sender de ut til amerikanske kunder.
Lenovo tok ansvar allerede i 2015 og opprett en side der de hjalp brukerne med å avinstallere programvaren.
– Vi kjenner fortsatt ikke til noen tilfeller der denne programvaren er blitt brukt til å utnytte noen ofre, skriver selskapet på egne hjemmesider.
