SolarWinds的現任和前任高層管理人員正在指責一名公司實習生在密碼安全方面的嚴重失誤，問題密碼”solarwinds123″於2019年在公共互聯網上被一名獨立的安全研究人員發現，該研究人員警告公司，該密碼的洩露暴露了SolarWinds的文件服務器。週五，在眾議院監督委員會和國土安全委員會的聯合聽證會上，幾位美國議員就密碼問題向SolarWinds開砲。

“我有一個比’solarwinds123’更強的密碼，以阻止我的孩子在iPad上看太多YouTube，”眾議員Katie Porter說。”然而你和你的公司本來是要防止俄羅斯人閱讀國防部的電子郵件的！”

微軟總裁布拉德-史密斯(Brad Smith)也在周五的聽證會上作證，他後來表示，沒有證據表明五角大樓實際上受到了俄羅斯間諜活動的影響。微軟是牽頭對黑客活動進行取證調查的公司之一。微軟告訴立法者，有”實質性證據”證明俄羅斯是破壞性黑客的幕後黑手。

SolarWinds代表週五告訴立法者，密碼問題一經報告，就在幾天內得到糾正。

但目前仍不清楚在美國歷史上最嚴重的安全漏洞之一中，洩露的密碼可能在使疑似俄羅斯黑客監視多個聯邦機構和企業方面扮演了什麼角色（如果有的話）。竊取的憑證是SolarWinds正在調查的三種可能的攻擊途徑之一，因為它試圖發現它是如何首先被黑客入侵的，黑客繼續在軟件更新中隱藏惡意代碼，然後SolarWinds向大約18000名客戶推送，包括許多聯邦機構。

SolarWinds首席執行官Sudhakar Ramakrishna表示，SolarWinds正在探索的其他理論包括粗暴地猜測公司密碼，以及黑客可能通過受損的第三方軟件進入。

面對眾議員Rashida Tlaib的質詢，SolarWinds前CEO Kevin Thompson表示，密碼問題是”一個實習生犯的錯誤”。”他們違反了我們的密碼政策，他們在內部、在自己的私人Github賬戶上發布了這個密碼，隨後被發現並引起我的安全團隊的注意，他們就把那東西撤下來了。”Thompson和Ramakrishna都沒有向立法者解釋為什麼公司的技術首先允許使用這樣的密碼。Ramakrishna後來作證說，這個密碼早在2017年就已經在使用了。

“我相信那是一名實習生在2017年時在他的一台Github服務器上使用的密碼，這被報告給了我們的安全團隊，並立即被刪除。”

然而，這個時間段比報導的時間要長得多。發現洩露密碼的研究人員Vinoth Kumar此前告訴CNN，在公司於2019年11月糾正該問題之前，至少從2018年6月起就可以在網上獲取密碼。

Kumar和SolarWinds之間的電子郵件顯示，洩露的密碼允許其登錄並成功地將文件存入該公司的服務器。Kumar警告說，利用這種策略，任何黑客都可以向SolarWinds上傳惡意程序。

在聽證會上，FireEye首席執行官Kevin Mandia表示，可能無法完全確定疑似俄羅斯黑客造成的損失有多大。我們可能永遠不知道損害的範圍和程度以及可能永遠不知道被竊取的信息是如何使對手受益的。”

為了進行損害評估，官員們不僅要對被訪問的數據進行編目，還要想像數據可能被外國行為者使用和濫用的所有方式，這是一項艱鉅的任務。