SolarWinds 的幾位現(xiàn)任、前任高管將公司密碼安全的嚴(yán)重失誤歸咎于公司的實(shí)習(xí)生。據(jù)稱(chēng) SolarWinds 此前設(shè)置的密碼是 solarwinds123，并在 2019 年被獨(dú)立安全研究員 Vinoth Kumar 發(fā)現(xiàn)并通知 SolarWinds 文件服務(wù)器存在對(duì)外暴露的問(wèn)題。

SolarWinds 前首席執(zhí)行官 Kevin Thompson 指出，由于實(shí)習(xí)生將密碼發(fā)布到私人的 GitHub 上才引起了軒然大波。SolarWinds 現(xiàn)任首席執(zhí)行官 Sudhakar Ramakrishna 也透露，自 2017 年開(kāi)始該公司就使用該密碼。

[[384363]]

最近，在眾議院監(jiān)督和國(guó)土安全委員會(huì)(House Oversight and Homeland Securities committees)舉辦的聯(lián)合聽(tīng)證會(huì)上，許多美國(guó)議員都指出 SolarWinds 弱密碼存在的問(wèn)題。議員 Katie Porter 指出，就連她本人的密碼都比 solarwinds123這個(gè)密碼強(qiáng)度更高。

根據(jù) CNN 的報(bào)道，微軟總裁 Brad Smith 指出沒(méi)有證據(jù)表明美國(guó)國(guó)防部受到了本次攻擊的波及。同時(shí)，Brad Smith 批評(píng)亞馬遜和 Google 沒(méi)有公開(kāi)披露對(duì) SolarWinds 攻擊所知道的信息。

[[384364]]

Brad Smith 表示，微軟發(fā)布了 32 篇文章詳細(xì)披露微軟對(duì) SolarWinds 攻擊的觀察。Google 僅僅有一篇，而亞馬遜對(duì)此保持沉默。根據(jù)美國(guó)《政治新聞》周二的報(bào)道，Google 前一天向國(guó)會(huì)議員提供了一份清單。問(wèn)題清單旨在檢查微軟產(chǎn)品(例如 Windows 10、Azure 和 Office 365)的安全性，想借此對(duì)微軟施壓。

Brad Smith 在采訪時(shí)表示：“從軟件工程的角度來(lái)看，可以說(shuō)這是世界上迄今為止最大、最復(fù)雜的攻擊”。隱藏在 SolarWinds Orion 更新中的攻擊，影響遍及 18000 個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)。

SolarWinds 公司的代表在聽(tīng)證會(huì)上表示，密碼問(wèn)題在短短幾天內(nèi)就被修復(fù)了，但是仍然存在一些關(guān)鍵數(shù)據(jù)的泄露。但是，尚不清楚這些泄露的數(shù)據(jù)在多大程度上可以幫助外國(guó)黑客監(jiān)控/入侵聯(lián)邦機(jī)構(gòu)/企業(yè)。

[[384365]]

黑客顯然在美國(guó)政府機(jī)構(gòu)的計(jì)算機(jī)中潛伏了數(shù)月之久，黑客在期間查看了電子郵件。除了國(guó)家核安全局之外，司法部，商務(wù)部，財(cái)政部，能源部和 NIH 等政府部門(mén)均受到影響。盡管美國(guó)國(guó)土安全部花費(fèi)了數(shù)十億美元建造的名為“愛(ài)因斯坦”的態(tài)勢(shì)感知系統(tǒng)，以檢測(cè)對(duì)政府機(jī)構(gòu)的網(wǎng)絡(luò)攻擊。但攻擊者仍然從美國(guó)的匿名服務(wù)器發(fā)起了攻擊，因?yàn)槊绹?guó)的法律禁止國(guó)家安全局監(jiān)視美國(guó)的私人計(jì)算機(jī)網(wǎng)絡(luò)。

美國(guó)國(guó)家安全局前副局長(zhǎng) Chris Inglis 認(rèn)為：“在政府網(wǎng)絡(luò)中發(fā)現(xiàn)全部黑客攻擊，需要花費(fèi)數(shù)年的時(shí)間。即使發(fā)現(xiàn)攻擊，最安全的方法仍然是更換硬件、更換系統(tǒng)”。