Estagiário pode ser responsável por uma das maiores brechas de segurança dos EUA
O drama da SolarWinds está longe de acabar. A história sobre como hackers russos — e possivelmente chineses também — conseguiram espiar e encontrar vulnerabilidades na segurança de centenas empresas estadunidenses parece ter ficado pior: uma das senhas que permitiu a invasão era “solarwinds123” e, ao que tudo indica, ela foi realmente criada por um estagiário.
Em fevereiro, a conselheira de segurança nacional da Casa Branca, Anne Neuberger, afirmou que ao menos 100 diferentes empresas, incluindo nove agências federais (uma delas é responsável pela administração de armas nucleares), foram comprometidas pela invasão da SolarWinds.
Agora, em uma audiência conjunta na sexta-feira (26), o ex-CEO da SolarWinds , Kevin Thompson, disse a representantes do Comitê de Supervisão da Câmara e da Segurança Interna que a senha “solarwinds123”, que protegia um dos servidores da empresa, estava “relacionada a um erro cometido por um estagiário, que violou nossas políticas de senha”.
Thompson explicou aos legisladores que o estagiário postou a senha em sua conta particular do GitHub. “Assim que foi identificado e chamou a atenção de mim e do meu time de segurança, nós derrubamos”, disse.
Em dezembro, o pesquisador de segurança Vinoth Kumar disse à Reuters que ele avisou a SolarWinds que qualquer um poderia acessar seus servidores usando a senha “solarwinds123”. A CNN noticiou que a senha estava disponível online ao menos desde junho de 2018.
No entanto, o depoimento da SolarWinds sugere que a brecha pode ser ainda mais antiga. Sudhakar Ramakrishma, o atual CEO, disse aos legisladores que a senha “solarwinds123” já estava em uso em servidores internos desde 2017.
De acordo com a CNN, Kumar mostrou que a brecha o permitia entrar e inserir arquivos no servidor da empresa. Essa era uma das formas que permitia qualquer hacker subir arquivos maliciosos dentro da SolarWinds.
“Eu tenho senhas mais seguras do que ‘solarwinds123’ para impedir meus filhos de assistirem muito YouTube no seu iPad”, ironizou Katie Porter, membro da Câmara dos Representantes da Califórnia na audiência.
A CNN ressalta, no entanto, que não é possível provar que o vazamento da senha seja o único responsável pela maior invasão estrangeira a um sistema de segurança dos EUA na história.
O governo estadunidense ainda está investigando o hack e não está claro quais dados os invasores conseguiram obter. Espera-se que a apuração leve meses. Kevin Mandia, CEO da FireEye, a companhia que descobriu o hack, disse que talvez nunca saibamos o tamanho do estrago.
Mas uma coisa sabemos: um pobre estagiário vai sofrer.