Esta falha é dada pelo CVE-2019-6160 e expunha milhões de ficheiros neste tipo de dispositivos descontinuados. Foi descoberta através de queries ao motor de busca Shodan, que revelou milhares de dispositivos que expunham 3 milhões de ficheiros à Internet, alguns deles incluindo documentos com informação sensível como números de cartão de créditos e registos financeiros.
A vulnerabilidade podia ser explorada por qualquer atacante com um certo tipo de pedido via API, a qual não estava protegida por nenhum mecanismo de autenticação. A interface web não expunha qualquer tipo de informação.
Depois de alertada, a empresa lançou três correções para resolver o problema, mesmo tratando-se de dispositivos descontinuados.
Fonte: https://www.securityweek.com/thousands-legacy-lenovo-storage-devices-exposed-millions-files