根据CNN报道,SolarWinds的几位高层在上周举行的联合听证会上坦承,SolarWinds实习生在2017年时于私人的GitHub账号上发布了访问SolarWinds的密码“solarwinds123”,也许是黑客入侵该公司服务器的破口。
一名安全研究人员Vinoth Kumar透露,他是在2019年于网络上发现solarwinds123,相信该密码自2018年就存在,以用于访问SolarWinds的更新服务器,并即刻通知了SolarWinds。
SolarWinds的前首席执行官Kevin Thompson则说这是实习生犯下的错误,该实习生违反了SolarWinds的密码政策,还将密码发布在私人的GitHub账号上,在收到通知的同时已撤销该密码。而SolarWinds的现任首席执行官Sudhakar Ramakrishna则说,该密码其实从2017年就开始使用了。
目前SolarWinds仍无法断定黑客的第一入侵渠道,除了实习生所外泄的密码之外,Ramakrishna认为其它的可能性还包括黑客暴力破解密码,或者是黑客先行危害了第三方的软件。
不管是不是solarwinds123惹的祸,美国众议员对SolarWinds所提出的质疑,也是安全社群最好奇的:“SolarWinds为何会允许员工设置一个如此简单的密码?”而Thompson或Ramakrishna则都未回应该问题。