美國最嚴重的安全漏洞事件之一，緣由竟是密碼設置過於簡單

圖片來自百度

2020年12月14日，SolarWinds旗下的Orion網絡監控軟件更新服務器遭黑客入侵併植入惡意代碼，致使美國財政部、商務部等多個政府機構用戶受到長期入侵和監視。通過調查發現了三種可能的攻擊途徑，其中一種居然是簡陋密碼的泄露。

SolarWinds將密碼設置爲「solarwinds123」，它被一名獨立的安全研究人員Vinoth Kumar於2019年在公共互聯網上發現，這名安全人員警告該公司的這個漏洞已經暴露了SolarWinds文件服務器。

在Kumar 和 SolarWinds溝通的電子郵件顯示，泄露的密碼容許 Kumar 登陸併成功地將文件存入該公司的服務器。Kumar 警告說，利用這種策略，任何黑客均可以向SolarWinds上傳惡意程序。調查還顯示在公司於2019年11月糾正該問題以前，至少從2018年6月起就能夠在網上獲得這個密碼。

防我兒子的密碼都比你的強

在近日舉行的美國衆議院監督委員會和國土安全委員會的聯合聽證會上，幾位美國議員就密碼問題向SolarWinds「開炮」。

美國衆議員凱蒂·波特說：「就連我都擁有比「solarwinds123」更強的密碼，用於防止個人孩子在iPad上觀看過多的YouTube，而您和您的公司職責就是阻止黑客閱讀國防部的電子郵件，居然會有如此簡陋的密碼」

凱蒂·波特說的很對，SolarWinds 做爲主要業務是幫助企業管理網絡、系統和信息技術基礎設施的公司，截至2020年12月，它擁有約30萬客戶，囊括幾乎全部財富美國500強企業和衆多美國聯邦政府機構，很難想象一家爲政府提供網絡安全服務的公司居然會有這麼簡單的密碼。

竊取的憑證是SolarWinds正在調查的三種可能的攻擊途徑之一，人們正在試圖尋找它是如何首先被黑客入侵的，最後導致黑客在軟件更新中隱藏惡意代碼，而後向包括美國聯邦機構的18,000名客戶推送。SolarWinds表示可能的方式包括粗暴地猜想公司密碼，以及黑客經過受損的第三方軟件進入。

將密碼泄露甩鍋實習生

面對衆議員，SolarWinds前CEO 湯普森表示，密碼問題是一個實習生犯的錯誤，他違反了咱們的密碼政策，在本身的私人Github帳戶上發佈了這個密碼，被發現並引發安全團隊的注意後，他就把那東西撤下來了。不過湯普森並無解釋爲何公司容許使用這樣的密碼。

SolarWinds表明週五告訴立法者，一旦報告了密碼問題，便會在幾天以內獲得糾正。可是，目前尚不清楚泄露的密碼在美國曆史上最嚴重的安全漏洞之一中，監視多個聯邦機構和企業方面發揮了什麼做用。

調查機構也沒法徹底肯定黑客形成的損失範圍和程度，更不知道被竊取的信息爲「對手」帶來哪些益處，爲了進行損害評估，官員們不只要對被訪問的數據進行編目，還要想象數據可能被黑客使用和濫用的全部方式，這是一項艱鉅的任務。

做爲領導對該黑客活動進行調查的公司之一的微軟表示：沒有證據代表五角大樓實際上受到了間諜活動的影響。但幾乎能夠肯定的是損害已經大到調查人員沒有辦法徹底搞清楚。