前SolarWinds CEO将 "solarwinds123"密码泄露事件归咎于实习生

SolarWinds的现任和前任高层管理人员正在指责一名公司实习生在密码安全方面的严重失误，问题密码 "solarwinds123"于2019年在公共互联网上被一名独立的安全研究人员发现，该研究人员警告公司，该密码的泄露暴露了SolarWinds的文件服务器。周五，在众议院监督委员会和国土安全委员会的联合听证会上，几位美国议员就密码问题向SolarWinds开炮。

"我有一个比'solarwinds123'更强的密码，以阻止我的孩子在iPad上看太多YouTube，"众议员Katie Porter说。"然而你和你的公司本来是要防止俄罗斯人阅读国防部的电子邮件的！"

微软总裁布拉德-史密斯(Brad Smith)也在周五的听证会上作证，他后来表示，没有证据表明五角大楼实际上受到了俄罗斯间谍活动的影响。微软是牵头对黑客活动进行取证调查的公司之一。微软告诉立法者，有 "实质性证据 "证明俄罗斯是破坏性黑客的幕后黑手。

SolarWinds代表周五告诉立法者，密码问题一经报告，就在几天内得到纠正。

但目前仍不清楚在美国历史上最严重的安全漏洞之一中，泄露的密码可能在使疑似俄罗斯黑客监视多个联邦机构和企业方面扮演了什么角色（如果有的话）。窃取的凭证是SolarWinds正在调查的三种可能的攻击途径之一，因为它试图发现它是如何首先被黑客入侵的，黑客继续在软件更新中隐藏恶意代码，然后SolarWinds向大约18000名客户推送，包括许多联邦机构。

SolarWinds首席执行官Sudhakar Ramakrishna表示，SolarWinds正在探索的其他理论包括粗暴地猜测公司密码，以及黑客可能通过受损的第三方软件进入。

面对众议员Rashida Tlaib的质询，SolarWinds前CEO Kevin Thompson表示，密码问题是 "一个实习生犯的错误"。"他们违反了我们的密码政策，他们在内部、在自己的私人Github账户上发布了这个密码，随后被发现并引起我的安全团队的注意，他们就把那东西撤下来了。"Thompson和Ramakrishna都没有向立法者解释为什么公司的技术首先允许使用这样的密码。Ramakrishna后来作证说，这个密码早在2017年就已经在使用了。

"我相信那是一名实习生在2017年时在他的一台Github服务器上使用的密码，这被报告给了我们的安全团队，并立即被删除。"

然而，这个时间段比报道的时间要长得多。发现泄露密码的研究人员Vinoth Kumar此前告诉CNN，在公司于2019年11月纠正该问题之前，至少从2018年6月起就可以在网上获取密码。

Kumar和SolarWinds之间的电子邮件显示，泄露的密码允许其登录并成功地将文件存入该公司的服务器。Kumar警告说，利用这种策略，任何黑客都可以向SolarWinds上传恶意程序。

在听证会上，FireEye首席执行官Kevin Mandia表示，可能无法完全确定疑似俄罗斯黑客造成的损失有多大。我们可能永远不知道损害的范围和程度以及可能永远不知道被窃取的信息是如何使对手受益的。"

为了进行损害评估，官员们不仅要对被访问的数据进行编目，还要想象数据可能被外国行为者使用和滥用的所有方式，这是一项艰巨的任务。