美国最严重的安全漏洞事件之一，原因竟是密码设置过于简单-技术圈

图片来自百度

技术编辑：宗恩丨发自思否编辑部

2020年12月14日，SolarWinds 旗下的 Orion 网络监控软件更新服务器遭黑客入侵并植入恶意代码，导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视。经过调查发现了三种可能的攻击途径，其中一种竟然是简陋密码的泄露。

SolarWinds将密码设置为「solarwinds123」，它被一名独立的安全研究人员 Vinoth Kumar 于2019年在公共互联网上发现，这名安全人员警告该公司的这个漏洞已经暴露了 SolarWinds 文件服务器。

在 Kumar 和 SolarWinds 沟通的电子邮件显示，泄露的密码允许 Kumar 登录并成功地将文件存入该公司的服务器。Kumar 警告说，利用这种策略，任何黑客都可以向 SolarWinds 上传恶意程序。调查还显示在公司于 2019 年 11 月纠正该问题之前，至少从 2018 年 6 月起就可以在网上得到这个密码。

防我儿子的密码都比你的强

在近日举行的美国众议院监督委员会和国土安全委员会的联合听证会上，几位美国议员就密码问题向 SolarWinds「开炮」。

美国众议员凯蒂·波特说：“就连我都拥有比「solarwinds123」更强的密码，用于防止我的孩子在 iPad 上观看过多的 YouTube，而您和您的公司职责就是阻止黑客阅读国防部的电子邮件，竟然会有如此简陋的密码”

凯蒂·波特说的很对，SolarWinds 作为主要业务是帮助企业管理网络、系统和信息技术基础设施的公司，截至 2020 年 12 月，它拥有约 30 万客户，囊括几乎所有财富美国 500 强企业和众多美国联邦政府机构，很难想象一家为政府提供网络安全服务的公司竟然会有这么简单的密码。

窃取的凭证是 SolarWinds 正在调查的三种可能的攻击途径之一，人们正在试图寻找它是如何首先被黑客入侵的，最后致使黑客在软件更新中隐藏恶意代码，然后向包括美国联邦机构的 18,000 名客户推送。SolarWinds 表示可能的方式包括粗暴地猜测公司密码，以及黑客通过受损的第三方软件进入。

将密码泄露甩锅实习生

面对众议员，SolarWinds 前 CEO 汤普森表示，密码问题是一个实习生犯的错误，他违反了我们的密码政策，在自己的私人 Github 账户上发布了这个密码，被发现并引起安全团队的注意后，他就把那东西撤下来了。不过汤普森并没有解释为什么公司允许使用这样的密码。

SolarWinds 代表周五告诉立法者，一旦报告了密码问题，便会在几天之内得到纠正。但是，目前尚不清楚泄露的密码在美国历史上最严重的安全漏洞之一中，监视多个联邦机构和企业方面发挥了什么作用。

调查机构也无法完全确定黑客造成的损失范围和程度，更不知道被窃取的信息为「对手」带来哪些益处，为了进行损害评估，官员们不仅要对被访问的数据进行编目，还要想象数据可能被黑客使用和滥用的所有方式，这是一项艰巨的任务。

作为领导对该黑客活动进行调查的公司之一的微软表示：没有证据表明五角大楼实际上受到了间谍活动的影响。但几乎可以确定的是损害已经大到调查人员没有办法完全搞清楚。

- END -