SolarWinds前首席执行官谴责实习生密码安全漏洞

一位安全研究人员声称,它先前曾通知SolarWinds,在发生奇怪的事件时,可以使用荒谬的基本密码访问其前向服务器。这位安全研究员建议该公司在SolarWinds网络攻击的根源上,在2019年严重缺乏密码安全性。

尽管如此,该公司仍未更新相关密码。

SolarWinds官员声称,泄露的密码是由实习生放置的,但这并不能完全免除公司的任何不当行为。

SolarWinds泄露了实习生的密码

当前,世界各地的研究人员和安全公司都试图将现代历史上影响最深远的网络攻击之一期间发生的事情拼凑在一起。

SolarWinds的高层人士指责一位前实习生泄露了密码,该公司声称该实习生在整个网络中使用了相同的密码。一旦攻击者找出了站点防御的主要密码,他们便可以在行动中自由支配。

想知道密码有多基本?据称泄露的密码为“ solarwinds123”,考虑到SolarWinds操作和客户的范围,如果真为真,这真是令人惊讶。

SolarWinds首席执行官Sudhakar Ramakrishna表示,该公司正在调查声称攻击者的蛮力攻击了许多帐户以寻找不安全的进入途径。即使这是真的,但对于向主要政府机构提供软件的公司的内部安全实践,仍然提出了重大问题。

在受到拉希达·特莱布(Rashida Tlaib)代表的询问时,SolarWinds前首席执行官凯文·汤普森(Kevin Thompson)说,密码问题是“实习生犯的一个错误”。

但是,到那时,该公司将致力于解决三个重大问题。

首先,公司允许实习生访问前端软件允许他们更改密码?安全社区中的许多人从表面上发现这令人难以置信。

其次,假设是这种情况,SolarWinds对实习生的帐户是否采取了零应急措施,以检查密码更改以及与平台的其他潜在的重要交互作用?再次,鉴于SolarWinds客户的质量以及违规可能导致的潜在危险(如我们现在所看到的那样),安全专家对这种说法视而不见。

第三,SolarWinds说,密码是在2017年更改的。如果是这种情况,并且该公司未审核三年多以前的实习生所放置的密码,那么这里还会出现另一个巨大的安全问题。

相关:微软发布关于SolarWinds网络攻击的最终报告

SolarWinds尚未完成

SolarWinds网络攻击造成了数起重大头皮事件,尤其是遭受攻击的安全公司和政府部门。但是,这次攻击引起的最新指控使该公司的问题根源是SolarWinds,情况不佳。

或者,正如加州代表凯蒂·波特(Katie Porter)在本周早些时候举行的美国参议院SolarWinds听证会上那样,“我拥有比'solarwinds123'更强的密码,可以防止我的孩子在iPad上观看过多的YouTube。”