"我有一個比'solarwinds123'更強的密碼,以阻止我的孩子在iPad上看太多YouTube,"眾議員Katie Porter說。"然而你和你的公司本來是要防止俄羅斯人閱讀國防部的電子郵件的!"
微軟總裁佈拉德-史密斯(Brad Smith)也在周五的聽證會上作證,他後來表示,沒有證據表明五角大樓實際上受到瞭俄羅斯間諜活動的影響。微軟是牽頭對黑客活動進行取證調查的公司之一。微軟告訴立法者,有 "實質性證據 "證明俄羅斯是破壞性黑客的幕後黑手。
SolarWinds代表周五告訴立法者,密碼問題一經報告,就在幾天內得到糾正。
但目前仍不清楚在美國歷史上最嚴重的安全漏洞之一中,泄露的密碼可能在使疑似俄羅斯黑客監視多個聯邦機構和企業方面扮演瞭什麼角色(如果有的話)。竊取的憑證是SolarWinds正在調查的三種可能的攻擊途徑之一,因為它試圖發現它是如何首先被黑客入侵的,黑客繼續在軟件更新中隱藏惡意代碼,然後SolarWinds向大約18000名客戶推送,包括許多聯邦機構。
SolarWinds首席執行官Sudhakar Ramakrishna表示,SolarWinds正在探索的其他理論包括粗暴地猜測公司密碼,以及黑客可能通過受損的第三方軟件進入。
面對眾議員Rashida Tlaib的質詢,SolarWinds前CEO Kevin Thompson表示,密碼問題是 "一個實習生犯的錯誤"。"他們違反瞭我們的密碼政策,他們在內部、在自己的私人Github賬戶上發佈瞭這個密碼,隨後被發現並引起我的安全團隊的註意,他們就把那東西撤下來瞭。"Thompson和Ramakrishna都沒有向立法者解釋為什麼公司的技術首先允許使用這樣的密碼。Ramakrishna後來作證說,這個密碼早在2017年就已經在使用瞭。
"我相信那是一名實習生在2017年時在他的一臺Github服務器上使用的密碼,這被報告給瞭我們的安全團隊,並立即被刪除。"
然而,這個時間段比報道的時間要長得多。發現泄露密碼的研究人員Vinoth Kumar此前告訴CNN,在公司於2019年11月糾正該問題之前,至少從2018年6月起就可以在網上獲取密碼。
Kumar和SolarWinds之間的電子郵件顯示,泄露的密碼允許其登錄並成功地將文件存入該公司的服務器。Kumar警告說,利用這種策略,任何黑客都可以向SolarWinds上傳惡意程序。
在聽證會上,FireEye首席執行官Kevin Mandia表示,可能無法完全確定疑似俄羅斯黑客造成的損失有多大。我們可能永遠不知道損害的范圍和程度以及可能永遠不知道被竊取的信息是如何使對手受益的。"
為瞭進行損害評估,官員們不僅要對被訪問的數據進行編目,還要想象數據可能被外國行為者使用和濫用的所有方式,這是一項艱巨的任務。
留言列表
