Krebs'in raporuna göre HP, bazı zararlıları hata eseri güvenli yazılım olarak imzaladı.
Krebs, sertifikanın normalde "eski yazılım ürünleriyle gelen yazılım bileşenlerini kriptografik olarak imzalamakta kullanıldığını" söylüyor. Çoğunlukla PC yazılımlarını imzalamakta kullanılan sertifika, 2010'da bazı zararlıları da imzalamakta kullanılmış.
HP, bu durumu toparlamak için sertifikayı geri çekmeye hazırlanıyor. Bunun anlamı ise firmanın yazılımlarını kullananların bir miktar ek işle uğraşmasının gerekebileceği. Özellikle geri yükleme özellikli HP PC'lerde kurtarma bölümünü kullananların sorun yaşayabileceği düşünülüyor.
Firmadan yakın zamanda ayrılacak olan kıdemli güvenlik müdürü Brett Wahlin ise Krebs'e yaptığı açıklamada firmanın kod imzalama sisteminin düzgün çalıştığını ve hiçbir biçimde ihlal edilmediğini söyledi. Sorunun bir zararlının HP yazılımlarının ismini kopyalaması ve HP'nin dahili olarak kullandığı bir pakete dahil edilmesiyle çıktığı söyleniyor. Dolayısıyla zararlının HP'nin sattığı PC'lere ulaşmadığı ileri sürülüyor.
Verisign, sertifikayı 21 Ekim tarihinde geri çekecek.