聲明：該文章由作者（孔秀）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

SolarWinds的現(xiàn)任和前任高層管理人員正在指責(zé)一名公司實(shí)習(xí)生在密碼安全方面的嚴(yán)重失誤，問題密碼 “solarwinds123″于2019年在公共互聯(lián)網(wǎng)上被一名獨(dú)立的安全研究人員發(fā)現(xiàn)，該研究人員警告公司，該密碼的泄露暴露了SolarWinds的文件服務(wù)器。周五，在眾議院監(jiān)督委員會(huì)和國土安全委員會(huì)的聯(lián)合聽證會(huì)上，幾位美國議員就密碼問題向SolarWinds開炮。

“我有一個(gè)比’solarwinds123’更強(qiáng)的密碼，以阻止我的孩子在iPad上看太多YouTube，”眾議員Katie Porter說?！比欢愫湍愕墓颈緛硎且乐苟砹_斯人閱讀國防部的電子郵件的！”

微軟總裁布拉德-史密斯(Brad Smith)也在周五的聽證會(huì)上作證，他后來表示，沒有證據(jù)表明五角大樓實(shí)際上受到了俄羅斯間諜活動(dòng)的影響。微軟是牽頭對黑客活動(dòng)進(jìn)行取證調(diào)查的公司之一。微軟告訴立法者，有 “實(shí)質(zhì)性證據(jù) “證明俄羅斯是破壞性黑客的幕后黑手。

SolarWinds代表周五告訴立法者，密碼問題一經(jīng)報(bào)告，就在幾天內(nèi)得到糾正。

但目前仍不清楚在美國歷史上最嚴(yán)重的安全漏洞之一中，泄露的密碼可能在使疑似俄羅斯黑客監(jiān)視多個(gè)聯(lián)邦機(jī)構(gòu)和企業(yè)方面扮演了什么角色（如果有的話）。竊取的憑證是SolarWinds正在調(diào)查的三種可能的攻擊途徑之一，因?yàn)樗噲D發(fā)現(xiàn)它是如何首先被黑客入侵的，黑客繼續(xù)在軟件更新中隱藏惡意代碼，然后SolarWinds向大約18000名客戶推送，包括許多聯(lián)邦機(jī)構(gòu)。

SolarWinds首席執(zhí)行官Sudhakar Ramakrishna表示，SolarWinds正在探索的其他理論包括粗暴地猜測公司密碼，以及黑客可能通過受損的第三方軟件進(jìn)入。

面對眾議員Rashida Tlaib的質(zhì)詢，SolarWinds前CEO Kevin Thompson表示，密碼問題是 “一個(gè)實(shí)習(xí)生犯的錯(cuò)誤”?！彼麄冞`反了我們的密碼政策，他們在內(nèi)部、在自己的私人Github賬戶上發(fā)布了這個(gè)密碼，隨后被發(fā)現(xiàn)并引起我的安全團(tuán)隊(duì)的注意，他們就把那東西撤下來了?！盩hompson和Ramakrishna都沒有向立法者解釋為什么公司的技術(shù)首先允許使用這樣的密碼。Ramakrishna后來作證說，這個(gè)密碼早在2017年就已經(jīng)在使用了。

“我相信那是一名實(shí)習(xí)生在2017年時(shí)在他的一臺(tái)Github服務(wù)器上使用的密碼，這被報(bào)告給了我們的安全團(tuán)隊(duì)，并立即被刪除?！?/p>

然而，這個(gè)時(shí)間段比報(bào)道的時(shí)間要長得多。發(fā)現(xiàn)泄露密碼的研究人員Vinoth Kumar此前告訴CNN，在公司于2019年11月糾正該問題之前，至少從2018年6月起就可以在網(wǎng)上獲取密碼。

Kumar和SolarWinds之間的電子郵件顯示，泄露的密碼允許其登錄并成功地將文件存入該公司的服務(wù)器。Kumar警告說，利用這種策略，任何黑客都可以向SolarWinds上傳惡意程序。

在聽證會(huì)上，F(xiàn)ireEye首席執(zhí)行官Kevin Mandia表示，可能無法完全確定疑似俄羅斯黑客造成的損失有多大。我們可能永遠(yuǎn)不知道損害的范圍和程度以及可能永遠(yuǎn)不知道被竊取的信息是如何使對手受益的。”

為了進(jìn)行損害評(píng)估，官員們不僅要對被訪問的數(shù)據(jù)進(jìn)行編目，還要想象數(shù)據(jù)可能被外國行為者使用和濫用的所有方式，這是一項(xiàng)艱巨的任務(wù)。

（消息及封面來源：cnBeta）

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場：https://www.ijiandao.com/