华盛顿(CNN)SolarWinds的现任和前任高管都将公司实习生归咎于密码安全性的严重下降,而这种安全性多年来似乎一直没有得到诊断。
有问题的密码" solarwinds123 && 34;是由一名独立的安全研究人员于2019年在公共互联网上发现的,他警告该公司该漏洞已暴露了SolarWinds文件服务器。
在众议院监督委员会和国土安全委员会的联合听证会上,几名美国议员星期五在索拉温德斯(SolarWinds)抢了密码。
"我的密码比&solarwinds123'的密码更强。阻止我的孩子在iPad上观看过多的YouTube,"众议员凯蒂·波特说。 "您和您的公司应该阻止俄罗斯人阅读国防部的电子邮件!"
微软总裁布拉德·史密斯(Brad Smith)也在周五的听证会上作证。他后来说,没有证据表明五角大楼实际上受到了俄罗斯间谍活动的影响。微软是领导对该黑客活动进行法医调查的公司之一。
"据我所知,没有迹象表明国防部遭到了攻击,"史密斯告诉波特。
SolarWinds代表周五告诉立法者,一旦报告了密码问题,便会在几天之内得到纠正。
但是,目前尚不清楚泄露的密码在使可疑的俄罗斯黑客在美国历史上最严重的安全漏洞之一中能够监视多个联邦机构和企业方面发挥了什么作用(如果有的话)。
凭证被盗是SolarWinds正在调查的三种可能的攻击途径之一,因为它试图揭示它最初是如何被黑客入侵的,这些黑客继续将恶意代码隐藏在软件更新中,然后SolarWinds将其推送给包括许多联邦机构在内的大约18,000个客户。
SolarWinds首席执行官Sudhakar Ramakrishna表示,SolarWinds正在探索其他理论,其中包括对公司密码的暴力猜测,以及黑客可能通过受感染的第三方软件进入的可能性。
在众议员拉希达·特莱布(Rashida Tlaib)的面前,SolarWinds前首席执行官凯文·汤普森(Kevin Thompson)说,密码问题是实习生犯的一个错误。
"他们违反了我们的密码政策,并将该密码发布在内部的自己的私人Github帐户中,"汤普森说。 "一经发现并引起我的安全团队的注意,他们就将其删除。
汤普森和罗摩克里希纳都没有向立法者解释为什么该公司的技术首先允许这种密码。
"我相信这是一个实习生在2017年在他的Github服务器之一上使用的密码,"罗摩克里希纳(Ramakrishna)告诉波特,"这已报告给我们的安全团队,并立即被删除。
该时间段比所报告的时间要长得多。发现泄露的密码的研究人员Vinoth Kumar先前告诉CNN,在该公司于2019年11月更正此问题之前,至少自2018年6月以来可以在线访问该密码。
Kumar和SolarWinds之间的电子邮件表明,泄露的密码使Kumar登录并成功将文件存储在公司的服务器上。 Kumar使用这种策略警告该公司,任何黑客都可以将恶意程序上传到SolarWinds。
在听证会上,FireEye首席执行官凯文·曼迪亚(Kevin Mandia)说,可能无法完全确定可疑的俄罗斯黑客活动造成了多大损失。
"最重要的是:我们可能永远不知道损害的全部范围和程度,也可能永远不知道所窃取的信息如何使对手受益的全部范围和程度,"曼迪亚作证。
曼迪亚说,为了进行损害评估,官员们不仅必须对访问的数据进行分类编目,而且还必须想象外国演员可以使用和滥用数据的所有方式,这是一项艰巨的任务。