I en kongresshøring i USA sist fredag måtte selskapets ledelse svare på kritiske spørsmål om hackerskandalen.
Her innrømmet Solarwinds at flere av deres servere har vært beskyttet av en admin-konto med passordet «solarwinds123», ifølge kunngjøring fra høringen og omtale blant annet i CNN.
Gir praktikant skylda
– Selv mitt eget passord for å stoppe ungene fra å se for mye på Youtube er sterkere enn det. Du og ditt selskap skulle forhindre russerne i å lese eposter til forsvarsdepartementet! smalt det fra demokrat Katie Porter i kontrollkomiteen.
– Det er relatert til en tabbe en praktikant gjorde, som brøt med våre passordregler, svarte Kevin B. Thompson, som har vært toppsjef i Solarwinds de 10 siste årene.
Ifølge Thompson skal praktikanten ha delt passordet på en «intern konto», og at dette ble raskt «tatt ned» da bedriftens sikkerhetsteam ble gjort oppmerksom på det.
Thompson gikk brått av som president og administrerende direktør i Solarwinds den 7. desember 2020, bare få dager før verdikjedeangrepet som rammet 18.000 av kundene deres ble offentlig kjent.
Svakt passord i flere år
Passordet som verken var særlig vanskelig å gjette, eller å lese ut ifra et offentlig kodedepot, strekker seg i hvert fall tilbake til 2018, men et annet vitnemål fredag indikerer at det kan være enda eldre, skriver nettstedet Gizmodo.
Sudhakar Ramakrishna, mannen som nå leder Solarwinds Corporation, var også kalt inn til høringen i regi av kontrollkomiteen og komiteen for innenriks sikkerhet.
– Jeg tror det var et passord en praktikant brukt på en av sine servere tilbake i 2017, som ble rapportert til vårt sikkerhetsteam og umiddelbart fjernet, sa Ramakrishna i sitt vitnemål da han ble spurt om den samme hendelsen.
Bruken av passordet «solarwinds123» skal ha blitt oppdaget i et Github-repositorium og varslet av den uavhengige sikkerhetsforskeren Vinoth Kumar tilbake i november 2019. Ifølge Kumar var det mulig å bruke adgangen til å laste opp filer til en av Solarwinds servere. Det samme passordet har ligget tilgjengelig på internett minst siden juni 2018, ifølge CNN.
Ukjent omfang
Fredagens høring i Representantenes hus var en felles høring i regi av kontrollkomiteen og komiteen for innenriks sikkerhet.
– Vi må kreve en bedre praksis innen cybersikkerhet fra leverandørene våre, samt økt informasjonsdeling med privat sektor, sier lederen for kontrollkomiteen, Carolyn B. Maloney i en kunngjøring.
Kevin Mandia, administrerende direktør i IT-sikkerhetsfirmaet Fireye, et annet av ofrene for hackerskandalen, var også kalt inn til fredagens høring. Han understreket at vi fortsatt ikke kjenner hele angrepets omfang, og kanskje aldri vil få vite det.
– Kanskje vil vi aldri få vite hele spekteret og omfanget av skaden, og omfanget av hvordan den stjålne informasjonen har gitt fordeler til en motstander, konstaterte Fireeye-toppen.