Ex-CEO da SolarWinds responsabiliza estagiário por violação de segurança de senha
Um pesquisador de segurança afirmou que informou anteriormente à SolarWinds que seus servidores voltados para o futuro eram acessíveis usando uma senha ridiculamente básica em uma estranha reviravolta. O pesquisador de segurança informou à empresa responsável pelo ataque cibernético da SolarWinds que sua segurança de senha estava gravemente deficiente em 2019.
Mesmo assim, a empresa não atualizou as senhas em questão.
Funcionários da SolarWinds alegaram que as senhas violadas foram postas em prática por um estagiário, mas isso não absolve exatamente a empresa de qualquer irregularidade.
Senha do estagiário vazou da SolarWinds Pins
Atualmente, pesquisadores e empresas de segurança em todo o mundo estão tentando juntar as peças do que aconteceu durante um dos ataques cibernéticos de maior alcance da história moderna.
O chefe da SolarWinds está culpando um ex-estagiário por vazar sua senha, com a empresa alegando que o estagiário usou a mesma senha em sua rede. Uma vez que os invasores descobriram a senha principal nas defesas do site, eles poderiam ter liberdade de ação dentro da operação.
Quer saber o quão básica era a senha? A senha supostamente vazada foi "solarwinds123", o que é realmente surpreendente, se for verdade, dado o escopo das operações e da clientela da SolarWinds.
O CEO da SolarWinds, Sudhakar Ramakrishna, disse que a empresa está investigando alegações de que a força bruta do atacante atacou uma série de contas para encontrar uma rota de entrada insegura. Mesmo que isso seja verdade, ainda levanta questões significativas em relação às práticas de segurança interna de uma empresa fornecedora de software para grandes agências governamentais.
Quando questionado pela representante Rashida Tlaib, o ex-CEO da SolarWinds Kevin Thompson disse que o problema da senha foi "um erro cometido por um estagiário".
No entanto, nesse ponto, a empresa está se comprometendo com três grandes questões.
Primeiro, a empresa permitiu que um estagiário acessasse o software frontal e que alterasse a senha. Muitos na comunidade de segurança acham isso inacreditável pelo valor de face.
Em segundo lugar, supondo que seja esse o caso, a SolarWinds fez zero contingência na conta do estagiário para verificar se há alterações de senha e outras interações potencialmente vitais com a plataforma? Mais uma vez, os especialistas em segurança difamam essa afirmação, dada a qualidade da clientela da SolarWinds e o perigo potencial a que uma violação pode levar – como vimos agora.
Terceiro, a SolarWinds disse que a senha foi alterada em 2017. Se for esse o caso, e a empresa não verificou a senha colocada em vigor por um estagiário há mais de três anos, há outro grande problema de segurança aqui.
SolarWinds não foi feito
O ataque cibernético da SolarWinds já atingiu vários escalpos importantes, principalmente as empresas de segurança e departamentos governamentais que foram vítimas do ataque. No entanto, o último conjunto de alegações decorrentes do ataque pintam a empresa na raiz do problema, a SolarWinds, de uma forma negativa.
Ou, como disse a representante Katie Porter, da Califórnia, na audiência da SolarWinds no Senado dos EUA realizada no início desta semana: "Tenho uma senha mais forte do que 'solarwinds123' para impedir que meus filhos assistam muito ao YouTube em seus iPads."
