SolarWinds的现任和前任高级管理人员都指责一家公司的实习生在密码安全方面存在严重错误。 有问题的密码“ solarwinds123”是由一名独立安全研究人员于2019年在公共互联网上发现的,该公司警告该公司:密码泄露暴露了SolarWinds的文件服务器。上周五,在众议院监督委员会与国土安全委员会之间的联合听证会上,几名美国议员就密码问题向SolarWinds开了枪。
使用权:
阿里云“暖云”主题活动获3000万补贴,帮助中小企业度过寒冬
众议员凯蒂·波特说:“我使用的密码比’solarwinds123’更强,可以防止我的孩子在iPad上观看过多的YouTube。” “但是,您和您的公司本意是防止俄罗斯人阅读国防部的电子邮件!”
微软总裁布拉德·史密斯(Brad Smith)也在周五的听证会上作证。 他后来说,没有证据表明五角大楼实际上受到了俄罗斯间谍活动的影响。 微软是领导对黑客活动进行法医调查的公司之一。 微软告诉国会议员,有“大量证据”表明俄罗斯是破坏性黑客的幕后黑手。
SolarWinds代表在周五告诉立法者,一旦报告了密码问题,便会在几天内将其纠正。
但是,目前尚不清楚泄露的密码在允许可疑的俄罗斯黑客监视美国历史上最严重的安全漏洞之一中监视多个联邦机构和公司中可能起到什么作用(如果有的话)。 凭据被盗是SolarWinds正在调查的三种可能的攻击媒介之一,因为它试图首先发现它是如何被黑客入侵的。 黑客继续在软件更新中隐藏恶意代码。 然后,SolarWinds推向大约18,000个客户,其中包括许多联邦机构。
SolarWinds的首席执行官Sudhakar Ramakrishna表示,SolarWinds正在探索的其他理论包括对公司密码的粗略猜测以及黑客通过受感染的第三方软件进入的可能性。
面对国会议员拉希达·特莱布(Rashida Tlaib)的提问,SolarWinds前首席执行官凯文·汤普森(Kevin Thompson)说,密码问题是“实习生犯的错误”。 “他们违反了我们的密码政策。他们在内部和私人Github帐户上发布了此密码,然后将其发现并提请我的安全团队注意,然后他们将其取下了。” 汤普森(Thompson)和罗摩克里希纳(Ramakrishna)均未向议员解释为何该公司的技术首先允许使用此类密码。 拉玛克里希纳后来证明该密码早在2017年就已被使用。
“我相信这是一名实习生在2017年使用他的Github服务器之一的密码。此密码已报告给我们的安全团队,并立即被删除。”
但是,此时间段比报告的时间长得多。 发现泄露的密码的研究员Vinoth Kumar先前告诉CNN,该密码至少从2018年6月开始在线可用,直到该公司在2019年11月纠正该问题为止。
Kumar和SolarWinds之间的一封电子邮件显示,泄露的密码使他能够登录并成功将文件保存在公司的服务器上。 Kumar警告说,使用此策略,任何黑客都可以将恶意程序上传到SolarWinds。
在听证会上,FireEye CEO凯文·曼迪亚(Kevin Mandia)说,可能无法完全确定嫌疑俄罗斯黑客造成的损失程度。 我们可能永远不知道损害的范围和程度,也永远不知道所窃取的信息如何使对手受益。 ”
为了进行损害评估,官员们不仅必须对访问的数据进行分类,而且还要想象外国参与者可以使用和滥用这些数据的所有方式。 这是一项艰巨的任务。