El ex director ejecutivo de SolarWinds culpa al pasante por incumplimiento de la seguridad de la contraseña
Un investigador de seguridad ha afirmado que previamente informó a SolarWinds que sus servidores orientados hacia el futuro eran accesibles usando una contraseña ridículamente básica en un extraño giro de eventos. El investigador de seguridad advirtió a la compañía en la raíz del ciberataque SolarWinds que la seguridad de su contraseña era muy deficiente en 2019.
Aún así, la empresa no actualizó las contraseñas en cuestión.
Los funcionarios de SolarWinds afirmaron que las contraseñas violadas fueron implementadas por un pasante, pero eso no absuelve exactamente a la compañía de ningún delito.
Clavijas de SolarWinds filtraron contraseña en pasante
Actualmente, los investigadores y las empresas de seguridad de todo el mundo están intentando reconstruir lo que sucedió durante uno de los ciberataques de mayor alcance en la historia moderna.
Los altos mandos de SolarWinds están culpando a un ex pasante por filtrar su contraseña, y la compañía afirma que el pasante usó la misma contraseña en toda su red. Una vez que los atacantes descubrieron la contraseña principal en las defensas del sitio, podrían tener rienda suelta dentro de la operación.
¿Se pregunta qué tan básica era la contraseña? La contraseña supuestamente filtrada era "solarwinds123", lo cual es realmente asombroso si es cierto dado el alcance de las operaciones y la clientela de SolarWinds.
El director ejecutivo de SolarWinds, Sudhakar Ramakrishna, dijo que la compañía está investigando las afirmaciones de que la fuerza bruta del atacante atacó una serie de cuentas para encontrar una ruta de entrada insegura. Incluso si eso es cierto, todavía plantea preguntas importantes con respecto a las prácticas de seguridad interna de una empresa que suministra software a las principales agencias gubernamentales.
Cuando fue interrogado por la representante Rashida Tlaib, el ex director ejecutivo de SolarWinds, Kevin Thompson, dijo que el problema de la contraseña fue "un error que cometió un pasante".
Sin embargo, en ese momento, la compañía se está comprometiendo con tres problemas masivos.
Primero, ¿la empresa permitió que un pasante acceda al software frontal y les permitió cambiar la contraseña? Muchos en la comunidad de la seguridad encuentran esto increíble en su valor nominal.
En segundo lugar, suponiendo que ese sea el caso, ¿SolarWinds hizo cero contingencia en la cuenta del pasante para verificar los cambios de contraseña y otras interacciones potencialmente vitales con la plataforma? Una vez más, los expertos en seguridad critican esta afirmación, dada la calidad de la clientela de SolarWinds y el peligro potencial al que podría conducir una infracción, como hemos visto ahora.
En tercer lugar, SolarWinds dijo que la contraseña se cambió en 2017. Si ese es el caso, y la compañía no examinó la contraseña establecida por un pasante más de tres años antes, hay otro problema de seguridad masivo aquí.
SolarWinds no ha terminado
El ciberataque SolarWinds se ha cobrado varios cueros cabelludos importantes, entre ellos las empresas de seguridad y los departamentos gubernamentales que fueron víctimas del ataque. Sin embargo, el último conjunto de acusaciones que surgieron del ataque pinta a la compañía en la raíz del problema, SolarWinds, con una mala luz.
O, como dijo la representante Katie Porter de California en la audiencia de SolarWinds del Senado de los Estados Unidos celebrada a principios de esta semana, "Tengo una contraseña más segura que 'solarwinds123' para evitar que mis hijos vean demasiado YouTube en su iPad".