En säkerhetsforskare har hävdat att den tidigare informerat SolarWinds om att dess framåtriktade servrar var tillgängliga med ett löjligt grundläggande lösenord i en konstig händelse. Säkerhetsforskaren meddelade företaget vid roten till SolarWinds cyberattack att dess lösenordsskydd saknades kraftigt under 2019.
Ändå uppdaterade företaget inte lösenorden i fråga.
SolarWinds-tjänstemän hävdade att de trasiga lösenorden infördes av en praktikant, men det befriar inte exakt företaget från något fel.
SolarWinds Pins läckt lösenord på praktikant
För närvarande försöker forskare och säkerhetsföretag runt om i världen att sammanföra vad som hände under en av de mest långtgående cyberattackerna i modern historia.
Den bästa mässingen på SolarWinds skyller på en tidigare praktikant för att ha läckt sitt lösenord, och företaget hävdar att praktikanten använde samma lösenord i hela sitt nätverk. När angriparna hade kommit fram till huvudlösenordet på webbplatsens försvar kunde de ha fritt styre inne i operationen.
Undrar du hur grundläggande lösenordet var? Det påstådda läckta lösenordet var "solarwinds123", vilket verkligen är förvånande om det är sant med tanke på omfattningen av SolarWinds verksamhet och kundkrets.
SolarWinds VD Sudhakar Ramakrishna sa att företaget undersöker påståenden om att angriparens brutala styrka attackerade en mängd konton för att hitta en osäker inträdesväg. Även om det är sant, väcker det fortfarande betydande frågor angående intern säkerhetspraxis hos ett företag som levererar programvara till större myndigheter.
På frågan av representanten Rashida Tlaib sa före detta vd för SolarWinds Kevin Thompson att lösenordsfrågan var "ett misstag som en praktikant gjorde."
Men vid den tidpunkten förbinder sig företaget till tre massiva frågor.
För det första tillät företaget en praktikant att få tillgång till framåtvänd programvara ochtillät dem att ändra lösenordet? Många i säkerhetsgemenskapen tycker att detta är otroligt till sitt värde.
För det andra, förutsatt att det är fallet, gjorde SolarWinds ingen beredskap för praktikantens konto för att kontrollera lösenordsändringar och andra potentiellt viktiga interaktioner med plattformen? Återigen sätter säkerhetsexperter hänsyn till detta påstående, med tanke på kvaliteten på SolarWinds kundkrets och den potentiella risken som ett brott kan leda till - som vi nu har sett.
För det tredje sa SolarWinds att lösenordet ändrades tillbaka 2017. Om så är fallet, och företaget inte veterinär lösenordet som en praktikant infört över tre år tidigare, finns det en annan massiv säkerhetsproblem här.
Relaterad: Microsoft publicerar sin slutrapport om SolarWinds cyberattack
SolarWinds är inte gjort
SolarWinds cyberattack har gjort anspråk på flera stora hårbotten, inte minst säkerhetsföretagen och myndigheter som blev offer för attacken. Men den senaste uppsättningen av anklagelser som härrör från attacken målar företaget i roten till problemet, SolarWinds, i ett dåligt ljus.
Eller som representant Katie Porter från Kalifornien sa vid den amerikanska senaten SolarWinds-utfrågningen hölls tidigare i veckan, "Jag har ett starkare lösenord än" solarwinds123 "för att hindra mina barn från att titta på för mycket YouTube på sin iPad."
Kan du inte bryta igenom ytterdörren? Attackera leverantörskedjan i stället. Så här fungerar dessa hack.
- säkerhet
- Tekniska nyheter
- Skadlig programvara
- Bakdörr
Gavin är Junior Editor för Windows och Technology Explained, en regelbunden bidragsgivare till den riktigt användbara podcasten och var redaktör för MakeUseOfs kryptofokuserade systersida, Blocks Decoded. Han har en BA (Hons) samtida skrivning med digital konstutövning som plundras från Devons kullar, samt över ett decennium av professionell skriverfarenhet. Han gillar stora mängder te, brädspel och fotboll.
Prenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!
Ett steg till…!
Bekräfta din e-postadress i e-postmeddelandet som vi just skickade till dig.