Der frühere CEO von SolarWinds macht den Praktikanten für die Verletzung der Passwortsicherheit verantwortlich
Ein Sicherheitsforscher hat behauptet, er habe SolarWinds zuvor darüber informiert, dass seine zukunftsgerichteten Server in einer merkwürdigen Situation mit einem lächerlich einfachen Passwort zugänglich waren. Der Sicherheitsforscher wies das Unternehmen an der Wurzel des SolarWinds-Cyberangriffs darauf hin, dass die Kennwortsicherheit im Jahr 2019 stark unzureichend war.
Das Unternehmen hat die fraglichen Passwörter jedoch nicht aktualisiert.
Beamte von SolarWinds behaupteten, dass die verletzten Passwörter von einem Praktikanten eingerichtet wurden, aber das entbindet das Unternehmen nicht gerade von jeglichem Fehlverhalten.
SolarWinds Pins hat Passwort auf Intern durchgesickert
Derzeit versuchen Forscher und Sicherheitsunternehmen auf der ganzen Welt, die Ereignisse während eines der weitreichendsten Cyberangriffe in der modernen Geschichte zusammenzufassen.
Die besten Köpfe bei SolarWinds machen einen ehemaligen Praktikanten für die Weitergabe seines Passworts verantwortlich. Das Unternehmen behauptet, dass der Praktikant im gesamten Netzwerk dasselbe Passwort verwendet habe. Sobald die Angreifer das Hauptkennwort für die Verteidigung der Site herausgefunden haben, können sie innerhalb der Operation frei regieren.
Sie fragen sich, wie einfach das Passwort war? Das angeblich durchgesickerte Passwort lautete "solarwinds123", was angesichts des Umfangs der SolarWinds-Operationen und der Kundschaft wirklich erstaunlich ist, wenn es wahr ist.
Sudhakar Ramakrishna, CEO von SolarWinds, sagte, das Unternehmen untersuche Behauptungen, dass die Brute-Force des Angreifers eine Vielzahl von Konten angegriffen habe, um einen unsicheren Zugangsweg zu finden. Selbst wenn dies zutrifft, wirft dies immer noch erhebliche Fragen hinsichtlich der internen Sicherheitspraktiken eines Unternehmens auf, das Software an große Regierungsbehörden liefert.
Auf die Frage von Vertreterin Rashida Tlaib sagte der frühere CEO von SolarWinds, Kevin Thompson, das Passwortproblem sei "ein Fehler, den ein Praktikant gemacht habe".
Zu diesem Zeitpunkt verpflichtet sich das Unternehmen jedoch zu drei massiven Problemen.
Erstens erlaubte das Unternehmen einem Praktikanten, auf Software auf der Vorderseite zuzugreifen und das Passwort zu ändern. Viele in der Sicherheitsgemeinschaft finden dies zum Nennwert unglaublich.
Zweitens hat SolarWinds unter der Annahme, dass dies der Fall ist, keine Kontingenz auf dem Konto des Praktikanten vorgenommen, um nach Kennwortänderungen und anderen potenziell wichtigen Interaktionen mit der Plattform zu suchen. Auch hier äußerten sich Sicherheitsexperten angesichts der Qualität der SolarWinds-Kundschaft und der potenziellen Gefahr, zu der ein Verstoß führen könnte, zu dieser Behauptung – wie wir jetzt gesehen haben.
Drittens sagte SolarWinds, dass das Passwort bereits 2017 geändert wurde. Wenn dies der Fall ist und das Unternehmen das Passwort, das ein Praktikant vor über drei Jahren eingerichtet hat, nicht überprüft hat, gibt es hier ein weiteres massives Sicherheitsproblem.
SolarWinds ist noch nicht fertig
Der SolarWinds-Cyberangriff hat mehrere große Kopfhautprobleme verursacht, nicht zuletzt die Sicherheitsunternehmen und Regierungsabteilungen, die dem Angriff zum Opfer gefallen sind. Die jüngsten Vorwürfe, die sich aus dem Angriff ergeben, lassen das Unternehmen, SolarWinds, an der Wurzel des Problems in einem schlechten Licht erscheinen.
Oder, wie die Vertreterin Katie Porter aus Kalifornien bei der SolarWinds-Anhörung des US-Senats Anfang dieser Woche sagte: "Ich habe ein stärkeres Passwort als 'solarwinds123', um meine Kinder davon abzuhalten, zu viel YouTube auf ihrem iPad anzusehen."