В минувшую пятницу на совместных слушаниях комитетов по надзору и внутренней безопасности Конгресса США были рассмотрены причины одного из самых серьёзных нарушений безопасности в истории страны. В результате взлома серверов SolarWinds пострадало около 100 компаний и 9 федеральных агентств США.
В качестве одной из версий успешного проникновения хакеров рассматривается утечка пароля «solarwinds123», который использовался сотрудниками компании для доступа к системе. Его обнаружил в 2019 году в свободном доступе в Интернете независимый исследователь по вопросам безопасности Винот Кумар (Vinoth Kumar), который предупредил компанию о существующей опасности взлома сервера SolarWinds из-за утечки.
Бывший гендиректор SolarWinds Кевин Томпсон сообщил, что проблема с паролем была «ошибкой, которую допустил стажёр». Он отметил, что служба безопасности сразу исправила проблему, как только стало известно. Фактически неназванный стажёр дважды нарушил базовые правила безопасности: он не только использовал примитивный пароль, но и «догадался» выложить его в своём репозитории на GitHub.
That Github repo was open to the public since 17 Jun 2018 😱 pic.twitter.com/SHUWaPXIeK
— Vinoth Kumar (@vinodsparrow) December 15, 2020
В свою очередь, нынешний гендиректор SolarWinds Судхакар Рамакришна (Sudhakar Ramakrishna) сообщил, что этот пароль стажёр использовал для доступа ещё в 2017 году. Ни Томпсон, ни Рамакришна не объяснили законодателям, почему компания вообще позволяет использовать столь простые пароли. «У меня есть более надёжный, чем „solarwinds123“, пароль, чтобы мои дети не смотрели слишком много видеороликов YouTube на своих iPad», — отметила член Палаты представителей США Кэти Портер (Katie Porter).
Винот Кумар ранее рассказал ресурсу CNN, что до того, как компания исправила проблему в ноябре 2019 года, пароль был доступен онлайн как минимум с июня 2018 года. Это позволило ему войти в систему и успешно разместить файлы на FTP-сервере SolarWinds, с которого клиенты скачивали обновления ПО. Кумар тогда предупредил компанию, что, используя эту тактику, любой хакер сможет загружать вредоносные программы в SolarWinds.