SolarWinds 是美国近年来最重大的资安危机,在事件发生后,美国政府积极寻找骇客入侵 SolarWinds 的途径。如今,骇客入侵途径有了新的方向,据外媒报导,骇客除了可能先骇入 SolarWinds 使用的第三方软体之外,更有可能是利用 SolarWinds 实习生在私人 GitHub 帐号上公开了公司密码,密码为「solarWinds 123」;当然,也不排除骇客使用暴力破解法,因为这密码实在过于简单。
SolarWinds 主要为企业管理网路、系统和资讯基础设施,许多美国政府单位都有採用(包含私人企业);因此,在爆出骇客入侵消息后,美国公、私营单位皆是受害对象,像是美国商务部、财政部、国土安全部等。
而据 CNN 报导,SolarWinds 的几位高层在日前举办的听证会上透露,SolarWinds 的实习生,在 2017 年曾在私人的 GitHub 帐号上张贴存取SolarWinds的密码「solarwinds123」,这也许是骇客入侵的破口之一。
安全研究人员 Vinoth Kumar 也证实,曾在 2019 于网路上发现 solarwinds123 这个密码,相信此一密码从 2018 年就存在,而 Kumar 也立即通知了 SolarWinds。
对此,SolarWinds 前执行长 Kevin Thompson 表示,这是实习生所犯的错误,该名实习生将密码暴露在私人 GitHub 帐号上,违反了SolarWinds的密码政策;安全团队在发现这件事后,便立即撤销该密码。
然而,先不论究竟是否因实习生外洩密码而导致骇客入侵,SolarWinds 此一负则美国数个重要机构的软体公司,竟会容许员工设定如此简单的密码,也备受质疑。
报导指出,像是美国众议员 Katie Porter 便对 SolarWinds 开砲,声称自己设定的密码都比 solarwinds123 複杂许多,以避免孩子在iPad 上看太多 Youtube。对此,Thompson 和 Ramakrishna 并未做出详细的解释。
总之,目前 SolarWinds 仍无法判断骇客第一入侵管道究竟为何,有可能是实习生外洩密码所致,也有可能骇客採取暴力破解法,因为密码设定实在过于简单;又或是从第三方软体入侵也有可能。
- Former SolarWinds CEO blames intern for ‘solarwinds123’ password leak
