SolarWinds指责实习生密码漏洞弱
陷入困境的软件公司SolarWinds在承认密码保护的严重安全漏洞后,可能遇到的安全问题比以前想象的要多。在法院听证会上,该公司的失败导致了一次重大的网络攻击,影响了美国政府和微软等公司,据透露,该公司文件服务器的密码已在网上泄漏并被发现。
在公司的一个令人难忘的启示中,密码被揭示为容易猜到的“ solarwinds123”。
为了明显地推高成本,SolarWinds的领导层过去和现在都将缺点归咎于一名身份不明的实习生,声称一旦发现,该问题将在几天之内得到解决,但受到监督此案的美国立法者的全面谴责。
代表凯蒂·波特(Katie Porter)表示:“我拥有比'solarwinds123'更强的密码,可以防止我的孩子在iPad上观看过多的YouTube。” “您和您的公司应该阻止俄罗斯人阅读国防部的电子邮件!”
CNN报道说,在代表拉希达·特莱布(Rashida Tlaib)审理此案时,前SolarWinds首席执行官凯文·汤普森(Kevin Thompson)声称密码问题是“实习生犯的一个错误”。
汤普森说:“他们违反了我们的密码政策,并在自己的Github私人帐户上发布了该密码。” “一旦发现并引起我的安全团队的注意,他们就把它撤下了。”
为了进一步增加尴尬,SolarWinds首席执行官Sudhakar Ramakrishna后来承认该密码早在2017年就已使用,他说:“我相信这是一个实习生在2017年在他的一个Github服务器上使用的密码...向我们的安全团队举报,并立即将其删除。”
早在2019年,一名独立安全研究人员就在网上发现了“ solarwinds123”密码,该公司成为全球网络攻击的中心之前数月,这种网络攻击被称为“世界上最大,最复杂的攻击”。
违规涉及SolarWinds Orion网络监控软件,估计有18,000个客户使用该软件。不仅有多家私营公司受到影响,还有九个联邦机构也受到了威胁,其中美国能源部和国家核安全局就是其中的目标。
据认为,成千上万的软件开发人员参与了该攻击,该攻击使用了4,032行代码,并且被认为是在美国内部进行的,尽管仍然相信俄罗斯最终对网络攻击负有责任。
容易猜测的密码和其他凭据是调查SolarWinds如何被黑客入侵的途径之一,以及受感染的第三方软件或对该公司网络的纯暴力攻击。
标签: SolarWinds