Não é um bug, é um recurso. Qualquer pessoa com acesso físico à máquina pode obter seus dados e / ou modificá-los, a menos que suas partições sejam criptografadas.
Considere este caso: você pode inicializar um Live CD e ler e modificar dados sem problemas.
Outro: alguém poderia abrir o gabinete, tirar o disco dele e conectá-lo em outra máquina (dock USB, eSATA, etc.). Então, novamente, é fácil ler e modificar os dados.
Se você quiser desabilitar a criação da entrada de recuperação, edite /etc/default/grub , descomente a linha GRUB_DISABLE_RECOVERY="true" removendo o caractere # inicial e execute sudo update-grub . No entanto, isso não torna impossível inicializar no modo de recuperação, pois você ainda pode editar as opções de inicialização pressionando E em uma entrada e adicionando single à linha do kernel.
A única maneira de se proteger contra esse ataque é criptografando todo o seu disco usando o LUKS. Eu recomendo strongmente fazer isso especialmente para dispositivos móveis, como um notebook. Veja como realmente proteger um disco rígido?