A CNN beszámolója szerint a SolarWinds jelenlegi és korábbi vezetői a vállalat egyik gyakornokát hibáztatják, amiért súlyos mulasztás történt jelszóbiztonság terén – ráadásul ez évekig észrevétlen is maradt.
A solarwinds123 jelszó ugyanis tényleg létezett, 2019-ben fedezte fel a nyilvános weben egy független biztonsági szakember, aki szólt is a vállalatnak, hogy a szivárgáson keresztül egy SolarWinds fájlszerver is elérhető. A vállalat szerint egy gyakornok hibázott, és megsértette a cég előírásait, ráadásul egy belső, privát Github-fiókon közzé is tette a jelszót.
Egy meghallgatás kapcsán számos amerikai jogalkotó bírálta a vállalatot emiatt, volt olyan képviselő, aki azt mondta, még a szülői felügyelethez is komolyabb jelszót használ, eközben a szóban forgó cégnek meg kellett volna gátolnia az oroszokat abban, hogy elolvassák a védelmi minisztérium leveleit – mondta Katie Porter.
Brad Smith, a vizsgálatot más cégekkel közösen vezető Microsoft elnöke szerint nincs rá bizonyíték, hogy a Pengtagont érintette volna az orosz kémkedési kampány. A SolarWinds szerint amint kiderült a hiba, napokon belül javították.
Azt továbbra sem tudják, hogy a kiszivárgott jelszó milyen szerepet játszhatott az utóbbi idők egyik, ha nem a legnagyobb botrányában, ami több amerikai hatósági szervezetet és számos céget is érintett.
A támadás egyik lehetséges magyarázatának tartják, hogy lopott belépési adatokat használtak a támadók. A SolarWinds szerint arra is van esély, hogy brute-force módszerekkel találták ki a cég jelszavait, és arra is, hogy feltört külsős szoftvereken keresztül jutottak be. Azt senki sem tudta megmondani, hogy a cég rendszerei hogyan nem vették észre egy ilyen jelszó létezését, amelyről most elárulták, már 2017 eleje óta létezett. A szivárgást felfedező Vinoth Kumar szerint ez 2018. júniusa óta bárki által hozzáférhető volt a weben, a hibát pedig csak 2019. novemberében orvosolták. A szakértő és a cég közötti levelekből kiderült, hogy a kód segítségével a vállalat szervereire könnyedén fel lehetett tölteni fájlokat.
A meghallgatáson a FireEye ügyvezetője elmondta, talán sosem derül ki, hogy mekkora kárt okozott a feltételezett orosz hackertámadás.
