Từ tháng 10/2014 đến tháng 6/2015, một số dòng máy tính của hãng Lenovo đã được cài đặt phần mềm Lenovo Service Engine (LSE) vào BIOS trước khi xuất xưởng.
Phần mềm này hoạt động theo cơ chế, khi máy tính liên kết với Internet lần đầu, nó sẽ tạo ra các tập tin thay thế được phân quyền cao nhất, có thể tự động kết nối đến máy chủ của Lenovo để gửi thông tin cơ bản của máy tính tới, đồng thời tải các trình điều khiển và phần mềm khác do Lenovo chỉ định. Do phần mềm này được đặt trong BIOS nên kể cả khi cài đặt lại hệ điều hành Window, LSE có thể hoạt động trở lại ngay khi máy kết nối Internet.
Văn bản của Ban chỉ đạo bí mật nhà nước thành phố Hải Phòng yêu cầu các ngành, địa phương cần kịp thời phát hiện máy tính có cài đặt LSE ngăn ngừa nguy cơ lây nhiễm mã độc, dừng hoạt động ngay những máy tính Lenovo có chứa LSE. Ban chỉ đạo cũng khuyến nghị các cơ quan, đơn vị không lưu nội dung bí mật trên máy tính Lenovo…
Theo đại diện Lenovo Việt Nam, việc LSE tự động gửi một số dữ liệu hệ thống về máy chủ là “để giúp Lenovo hiểu rõ khách hàng của mình sử dụng sản phẩm ra sao. Những dữ liệu này hoàn toàn không chứa thông tin cá nhân của người dùng, mà bao gồm tên sản phẩm, tên vùng, thông tin cấu hình máy - gồm dung lượng bộ nhớ, mã SKU, model CPU, độ phân giải màn hình, dung lượng ổ cứng, card màn hình, phiên bản hệ điều hành. Những thông tin này được thu thập và gửi về máy chủ chỉ ở lần đầu tiên máy kết nối với Internet”.
Trước thông tin hacker có thể khai thác lỗ hổng bảo mật thông qua LSE, Lenovo đã phát hành bản nâng cấp BIOS để loại bỏ LSE và phần mềm này hiện không còn được cài đặt trên bất cứ máy tính mới nào của Lenovo.
