SolarWinds’ın şu anki ve eski üst düzey yöneticileri, yıllarca teşhis edilmemiş görünen şifre güvenliğindeki kritik bir hata nedeniyle bir şirket stajyerini suçluyor.
Söz konusu “solarwinds123” şifresini bir güvenlik araştırmacısı, 2019 yılında herkese açık internet ortamında keşfetti. Araştırmacı, daha sonra SolarWinds ‘i sızıntı konusunda uyardı.
Birkaç ABD’li milletvekili, House Oversight ve Ulusal Güvenlik komitelerinin ortak duruşmasında Cuma günü şifre sorunu için SolarWinds’e ciddi şekilde eleştirdi.
Cumhuriyetçi vekil Katie Porter ciddi eleştirileri yönelten isimlerden biriydi. Porter: “iPad’de çok fazla YouTube’u izlemekten Çocuklarımı durdurmak için ‘solarwinds123’ den daha güçlü bir şifrem var”, dedi. “Siz ve şirketinizin, Rusların, Savunma Bakanlığı e-postalarını okumasını engellemesi gerekiyordu!”
Cuma günkü duruşmada ifade veren Microsoft Başkanı Brad Smith, Pentagon’un Rus casusluk saldırısından gerçekten etkilendiğine dair hiçbir kanıt olmadığını söyledi. Microsoft, bilgisayar korsanlığı saldırı ile ilgili adli soruşturmayı yöneten şirketler arasında yer alıyor.
Smith, Porter’a “Bildiğim kadarıyla, Savunma Bakanlığı’nın saldırıya uğradığına dair hiçbir gösterge yok” dedi.
SolarWinds temsilcileri, vekillere şifre sorunu bildirilir bildirilmez birkaç gün içinde sorunun düzeltildiğini söyledi.
Ancak, sızan şifrenin, şüpheli Rus bilgisayar korsanlarının ABD tarihindeki en ciddi güvenlik ihlallerinden birinde birden çok federal kurum ve işletme hakkında casusluk yapmasına olanak sağlayıp sağlamadığı, sağladı ise nasıl bir rolü olduğu belirsiz.
Çalınan kimlik bilgileri, SolarWinds’in ilk olarak bilgisayar korsanları tarafından nasıl ele geçirildiğini ortaya çıkarmaya çalışırken araştırdığı üç olası saldırı yolundan biri. Ayrıca, SolarWinds çok sayıda federal kurum da dahil olmak üzere yaklaşık 18.000 müşteriye gönderdiği yazılım güncellemelerindeki kötü amaçlı kodları gizlemeye devam etti.
Saldırı, henüz aydınlatılamadı
SolarWinds CEO’su Sudhakar Ramakrishna, SolarWinds’ın araştırdığı diğer teorilerin, şirket şifrelerinin kaba kuvvetle tahmin edilmesini ve bilgisayar korsanlarının güvenliği ihlal edilmiş üçüncü taraf yazılımları aracılığıyla girmiş olma olasılığını içerdiğini söyledi.
Rashida Tlaib ile karşı karşıya kalan SolarWinds eski CEO’su Kevin Thompson, şifre sorununun “bir stajyerin yaptığı bir hata” olduğunu söyledi.
Thompson, “Parola ilkelerimizi ihlal ettiler ve bu parolayı kendi özel Github hesaplarına eklediler,” dedi.
Ne Thompson ne de Ramakrishna, milletvekillerine şirketin teknolojisinin bu tür şifrelere neden izin verdiğini açıklamadı.
Ramakrishna daha sonra şifrenin 2017 gibi erken bir tarihte kullanıldığını ifade etti.
Ramakrishna, Porter’a, “Bunun, bir stajyerin 2017’de Github sunucularından birinde kullandığı bir şifre olduğuna inanıyorum,” dedi. “Sızıntı tespit edilir edilmez şifre kaldırıldı”.
Bu zaman çerçevesi, bildirilenden çok daha uzun. Sızan şifreyi keşfeden araştırmacı Vinoth Kumar, daha önce CNN’e, şirketin Kasım 2019’da sorunu gidermeden önce, şifreye en az Haziran 2018’den beri çevrimiçi olarak erişilebildiğini söylemişti.
Kumar ve SolarWinds arasındaki e-postalar, sızdırılan şifrenin Kumar’a giriş yapmasına ve şirketin sunucusuna başarıyla dosya yüklemesine izin verdiğini gösterdi. Kumar, bu taktiği kullanarak şirketi uyardı. Herhangi bir bilgisayar korsanı SolarWinds sunucularına kolaylıkla kötü amaçlı program yükleyebilirdi.
Duruşmada, FireEye CEO’su Kevin Mandia, saldırının ne kadar hasar verdiğini tam olarak belirlemenin imkansız olabileceğini söyledi.
Mandia, “Sonuç olarak: Hasarın tam kapsamını ve boyutunu ve çalınan bilginin bir rakibe nasıl fayda sağladığını asla tam olarak bilemeyebiliriz,” dedi.
Mandia, bir hasar değerlendirmesi yapmak için, yetkililerin yalnızca hangi verilere erişildiğini kataloglamasının yanı sıra, aynı zamanda verilerin yabancı aktörler tarafından kötüye kullanılabileceği tüm yolları düşünmeleri gerektiğini söyledi.
Kaynak: cnn.com
Diğer Haberler
“Deep Nostalgia” İsimli Yeni Yapay Zeka Eski Fotoğraflara Hayat Veriyor
Yarı İletken Üreticisi TSCM Artan Talepler Karşısında 1000 Yeni Mühendis Görevlendirecek
Ankara Büyükşehir Belediyesi’den Tam Elektrikli Otobüs