Un chercheur en sécurité a affirmé qu'il avait précédemment informé SolarWinds que ses serveurs orientés vers l'avant étaient accessibles à l'aide d'un mot de passe ridiculement basique dans une étrange tournure des événements. Le chercheur en sécurité a informé la société à l'origine de la cyberattaque SolarWinds que la sécurité de son mot de passe faisait gravement défaut en 2019.
Pourtant, la société n'a pas mis à jour les mots de passe en question.
Les responsables de SolarWinds ont affirmé que les mots de passe violés avaient été mis en place par un stagiaire, mais cela n'exonère pas exactement l'entreprise de tout acte répréhensible.
Fuite du mot de passe des broches SolarWinds sur le stagiaire
Actuellement, des chercheurs et des sociétés de sécurité du monde entier tentent de reconstituer ce qui s'est passé lors de l'une des cyberattaques les plus profondes de l'histoire moderne.
Le haut responsable de SolarWinds blâme un ancien stagiaire pour avoir divulgué son mot de passe, la société affirmant que le stagiaire a utilisé le même mot de passe sur son réseau. Une fois que les attaquants ont découvert le mot de passe principal sur les défenses du site, ils pourraient avoir libre cours à l'intérieur de l'opération.
Vous vous demandez à quel point le mot de passe était basique? Le mot de passe prétendument divulgué était "solarwinds123", ce qui est vraiment étonnant s'il est vrai compte tenu de la portée des opérations et de la clientèle de SolarWinds.
Le PDG de SolarWinds, Sudhakar Ramakrishna, a déclaré que la société enquêtait sur les allégations selon lesquelles la force brute de l'attaquant aurait attaqué une multitude de comptes pour trouver une voie d'entrée non sécurisée. Même si cela est vrai, cela soulève encore des questions importantes concernant les pratiques de sécurité interne d'une entreprise qui fournit des logiciels aux grandes agences gouvernementales.
Interrogé par la représentante Rashida Tlaib, l'ancien PDG de SolarWinds Kevin Thompson a déclaré que le problème du mot de passe était "une erreur commise par un stagiaire".
Cependant, à ce stade, la société s'engage sur trois problèmes majeurs.
Premièrement, l'entreprise a autorisé un stagiaire à accéder à un logiciel frontal etleur a-t-il permis de changer le mot de passe? De nombreux membres de la communauté de la sécurité trouvent cela incroyable au pied de la lettre.
Deuxièmement, en supposant que ce soit le cas, SolarWinds n'a fait aucune contingence sur le compte du stagiaire pour vérifier les changements de mot de passe et d'autres interactions potentiellement vitales avec la plate-forme? Encore une fois, les experts en sécurité ont critiqué cette affirmation, étant donné la qualité de la clientèle de SolarWinds et le danger potentiel qu'une brèche pourrait entraîner - comme nous l'avons vu maintenant.
Troisièmement, SolarWinds a déclaré que le mot de passe avait été modifié en 2017. Si tel est le cas et que l'entreprise n'a pas vérifié le mot de passe mis en place par un stagiaire il y a trois ans, il y a un autre problème de sécurité majeur ici.
En rapport: Microsoft publie son rapport final sur la cyberattaque SolarWinds
SolarWinds n'est pas terminé
La cyberattaque de SolarWinds a revendiqué plusieurs scalps majeurs, notamment les sociétés de sécurité et les services gouvernementaux qui ont été victimes de l'attaque. Cependant, la dernière série d'allégations découlant de l'attaque dépeint l'entreprise à l'origine du problème, SolarWinds, sous un mauvais jour.
Ou, comme l'a dit la représentante Katie Porter de Californie à l'audience SolarWinds du Sénat américain plus tôt cette semaine, "J'ai un mot de passe plus fort que" solarwinds123 "pour empêcher mes enfants de regarder trop de YouTube sur leur iPad."
Vous ne pouvez pas franchir la porte d'entrée? Attaquez plutôt le réseau de la chaîne d'approvisionnement. Voici comment fonctionnent ces hacks.
- Sécurité
- Actualités techniques
- Malware
- Porte arrière
Gavin est l'éditeur junior pour Windows and Technology Explained, un contributeur régulier au podcast Really Useful, et était l'éditeur du site sœur de MakeUseOf axé sur la cryptographie, Blocks Decoded. Il possède un BA (Hons) en écriture contemporaine avec des pratiques d'art numérique pillées dans les collines du Devon, ainsi que plus d'une décennie d'expérience en rédaction professionnelle. Il aime beaucoup de thé, de jeux de société et de football.
Abonnez-vous à notre newsletter
Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives!
Un pas de plus…!
Veuillez confirmer votre adresse e-mail dans l'e-mail que nous venons de vous envoyer.