美众议院举办SolarWinds听证会,将密码泄露归咎于实习生

安全
SolarWinds 的几位现任、前任高管将公司密码安全的严重失误归咎于公司的实习生。

SolarWinds 的几位现任、前任高管将公司密码安全的严重失误归咎于公司的实习生。据称 SolarWinds 此前设置的密码是 solarwinds123,并在 2019 年被独立安全研究员 Vinoth Kumar 发现并通知 SolarWinds 文件服务器存在对外暴露的问题。

SolarWinds 前首席执行官 Kevin Thompson 指出,由于实习生将密码发布到私人的 GitHub 上才引起了轩然大波。SolarWinds 现任首席执行官 Sudhakar Ramakrishna 也透露,自 2017 年开始该公司就使用该密码。

[[384363]]

最近,在众议院监督和国土安全委员会(House Oversight and Homeland Securities committees)举办的联合听证会上,许多美国议员都指出 SolarWinds 弱密码存在的问题。议员 Katie Porter 指出,就连她本人的密码都比 solarwinds123这个密码强度更高。

根据 CNN 的报道,微软总裁 Brad Smith 指出没有证据表明美国国防部受到了本次攻击的波及。同时,Brad Smith 批评亚马逊和 Google 没有公开披露对 SolarWinds 攻击所知道的信息。

[[384364]]

Brad Smith 表示,微软发布了 32 篇文章详细披露微软对 SolarWinds 攻击的观察。Google 仅仅有一篇,而亚马逊对此保持沉默。根据美国《政治新闻》周二的报道,Google 前一天向国会议员提供了一份清单。问题清单旨在检查微软产品(例如 Windows 10、Azure 和 Office 365)的安全性,想借此对微软施压。

Brad Smith 在采访时表示:“从软件工程的角度来看,可以说这是世界上迄今为止最大、最复杂的攻击”。隐藏在 SolarWinds Orion 更新中的攻击,影响遍及 18000 个机构的网络。

SolarWinds 公司的代表在听证会上表示,密码问题在短短几天内就被修复了,但是仍然存在一些关键数据的泄露。但是,尚不清楚这些泄露的数据在多大程度上可以帮助外国黑客监控/入侵联邦机构/企业。

[[384365]]

黑客显然在美国政府机构的计算机中潜伏了数月之久,黑客在期间查看了电子邮件。除了国家核安全局之外,司法部,商务部,财政部,能源部和 NIH 等政府部门均受到影响。尽管美国国土安全部花费了数十亿美元建造的名为“爱因斯坦”的态势感知系统,以检测对政府机构的网络攻击。但攻击者仍然从美国的匿名服务器发起了攻击,因为美国的法律禁止国家安全局监视美国的私人计算机网络。

美国国家安全局前副局长 Chris Inglis 认为:“在政府网络中发现全部黑客攻击,需要花费数年的时间。即使发现攻击,最安全的方法仍然是更换硬件、更换系统”。

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-05-20 19:56:08

泄露密码数据泄露网络攻击

2014-06-24 14:17:20

2022-01-19 11:07:28

加密货币区块链货币

2020-02-18 13:46:18

人工智能技术Google

2022-08-30 00:14:43

勒索软件安全漏洞

2021-06-10 07:08:47

Fastly漏洞

2021-03-05 15:13:42

黑客SolarWinds吹哨人

2023-07-26 13:30:48

2021-03-01 10:42:20

黑客攻击网络安全SolarWinds

2022-05-18 13:17:03

外星人太空技术

2022-02-07 09:25:00

芯片美国制造

2023-03-09 18:16:30

2009-12-10 15:04:36

甲骨文收购案

2021-05-13 07:11:49

stagramTwitter系统故障

2020-01-16 15:51:32

人脸识别面部识别报告

2011-05-07 11:04:21

隐私LBS谷歌

2009-11-05 19:07:12

2018-08-01 15:06:45

2021-02-07 10:43:34

人工智能人才缺口AI

2022-05-12 14:21:20

宕机开发
点赞
收藏

51CTO技术栈公众号