多名SolarWinds现任和前任高管指责公司实习生密码安全严重失误。据称,SolarWinds此前设置的密码为solarwinds123,2019年被独立安全研究员VinothKumar发现,并通知SolarWinds文件服务器对外暴露存在问题。SolarWinds前CEOKevinThompson指出,引起轩然大波的原因是实习生将密码发布到私人GitHub上。SolarWinds现任首席执行官SudhakarRamakrishna也透露,该公司自2017年以来一直在使用该密码。最近,在众议院监督委员会和国土安全委员会的联合听证会上,多位美国立法者指出了SolarWinds弱密码的问题。议员KatiePorter指出,即使是她的密码也比solarwinds123强。据美国有线电视新闻网报道,微软总裁布拉德·史密斯指出,没有证据表明美国国防部受到此次攻击的影响。与此同时,布拉德史密斯批评亚马逊和谷歌没有公开披露他们对SolarWinds攻击的了解。布拉德·史密斯表示,微软发表了32篇文章,详细介绍了微软对SolarWinds攻击的观察。谷歌只有一个,而亚马逊对此保持沉默。据美国周二报道,谷歌在前一天向国会议员提供了一份名单。问题清单旨在通过检查Windows10、Azure和Office365等微软产品的安全性来向微软施压。BradSmith在接受采访时表示:“从软件工程的角度来看,可以说这是迄今为止,世界上规模最大、最复杂的攻击。”隐藏在SolarWindsOrion更新中的攻击影响了18,000家机构的网络。SolarWinds的代表在听证会上表示,密码问题在短短几天内就得到了解决,但一些关键数据仍然暴露在外。然而,目前尚不清楚这些泄露的数据在多大程度上可以帮助外国黑客监控/入侵联邦机构/企业。黑客显然在美国政府机构的计算机上潜伏了数月之久,在此期间黑客查看了电子邮件。除了国家核安全局,司法部、商务部、财政部、能源部和NIH等政府部门都受到影响。尽管事实上美国国土安全部已经花费数十亿美元建立了一个名为“爱因斯坦”的态势感知系统来检测对政府机构的网络攻击。但由于美国法律禁止国家安全局监视美国私人计算机网络,攻击者仍然从美国的匿名服务器发起攻击。美国国家安全局前副局长克里斯·英格利斯认为:“要发现政府网络中的所有黑客攻击,需要数年时间。即使发现了攻击,最安全的方法仍然是更换硬件和更换系统。”“
