image

SolarWinds-directeur: wachtwoord 'solarwinds123' was van stagiair

dinsdag 2 maart 2021, 10:42 door Redactie, 25 reacties

Het wachtwoord 'solarwinds123' waarmee er kon worden ingelogd op een ftp-server van SolarWinds was afkomstig van een stagiair, zo hebben de huidige en voormalige directeur van het softwarebedrijf tijdens een hoorzitting van het Amerikaanse Huis van Afgevaardigden en een commissie van het ministerie van Homeland Security laten weten.

Op 13 december 2020 maakte SolarWinds bekend dat aanvallers toegang hadden gekregen tot de systemen van het bedrijf en updates voor het Orion-platform van een backdoor hadden voorzien. Een dag na deze aankondiging liet onderzoeker Vinoth Kumar weten dat hij SolarWinds op 19 november 2019 had gewaarschuwd dat het wachtwoord voor een ftp-server van het softwarebedrijf op een publiek toegankelijk GitHub-respository stond. Het wachtwoord was 'solarwinds123'

Tijdens een hoorzitting over de wereldwijde supply-chain-aanval via de software van SolarWinds kwam ook het gelekte wachtwoord te sprake. Volgens voormalig directeur Kevin Thompson was het een fout van een stagiair die in strijd met het wachtwoordbeleid handelde. Nadat SolarWinds dit ontdekte werd het wachtwoord online verwijderd. Ook de huidige directeur van SolarWinds, Sudhakar Ramakrishna, stelde dat het om een wachtwoord van een stagiair ging dat deze persoon sinds 2017 voor zijn eigen GitHub-servers gebruikte.

Uit e-mails tussen Kumar en SolarWinds blijkt dat de onderzoeker met het gelekte wachtwoord op de ftp-server kon inloggen en bestanden kon uploaden. Kumar waarschuwde dat een aanvaller zo het bedrijf met malware zou kunnen infecteren, meldt CNN. Een beveiligingsonderzoeker met het alias The Grugq stelt in een reactie op de berichtgeving dat het gelekte ftp-wachtwoord zo goed als zeker geen rol heeft gespeeld bij de supply-chain-aanval.

Reacties (25)
02-03-2021, 11:20 door Anoniem
Eh... waarom heeft het account van een stagiair zoveel rechten dat dit mogelijk is??
Het zal wel weer de verkeerde vraag zijn...
02-03-2021, 11:51 door Anoniem
Door Anoniem: Eh... waarom heeft het account van een stagiair zoveel rechten dat dit mogelijk is??
Het zal wel weer de verkeerde vraag zijn...

Waarom staan ze zo'n simpel wachtwoord toe en beschermen ze hun medewerkers niet beter tegen zichzelf?
02-03-2021, 11:54 door Anoniem
Vraag 1: Het wachtwoord was 'solarwinds123', hoe dan, met toegang tot dit soort data heb je toch minsens nog een hoofdletter en speciaal teken als eis.

Vraag 2: Waarom heeft een stagiair toegang tot zoveel data?
02-03-2021, 12:03 door Anoniem
lekker makkelijk: wachtwoord: bedrijf123
ze zijn waarschijnlijk zo geavanceerd, dat ingewikkelde wachtwoorden niet mogelijk zijn, evenmin als tweefactorauthenticatie....
02-03-2021, 12:55 door Anoniem
Niet eens een hoofdletter of vreemd teken eis ?

Geen goed wachtwoord beleid dus
02-03-2021, 13:43 door Briolet
Door Anoniem:
Door Anoniem: Eh... waarom heeft het account van een stagiair zoveel rechten dat dit mogelijk is??
Het zal wel weer de verkeerde vraag zijn...

Waarom staan ze zo'n simpel wachtwoord toe en beschermen ze hun medewerkers niet beter tegen zichzelf?

Een complex wachtwoord had hier niet geholpen omdat het wachtwoord zelf in een GitHub-respository stond.

Waar staat dat dit account veel rechten had? Deze had gewoon de rechten die je bij een stagiaire kunt verwachten.
02-03-2021, 14:29 door Anoniem
Door Anoniem: Niet eens een hoofdletter of vreemd teken eis ?

Geen goed wachtwoord beleid dus
Hoofdletter en vreemd teken toevoegen is niet automatisch een goed/veilig wachtwoord beleid. Voor een veilig wachtwoord is lengte altijd nog belangrijker.

Liever een wachtwoord van 20 tekens lower cap en alfanumeriek, dan 6 tekens met Hoofdletter en 'speciaal/vreemd' teken. Voor zover er iets speciaals is aan de tekens op een gemiddeld toetsenbord.
02-03-2021, 14:39 door Anoniem
Door Briolet:
Door Anoniem:
Door Anoniem: Eh... waarom heeft het account van een stagiair zoveel rechten dat dit mogelijk is??
Het zal wel weer de verkeerde vraag zijn...

Waarom staan ze zo'n simpel wachtwoord toe en beschermen ze hun medewerkers niet beter tegen zichzelf?

Een complex wachtwoord had hier niet geholpen omdat het wachtwoord zelf in een GitHub-respository stond.

Dat staat er toch helemaal niet? Er staat dat het voor een GitHub-respository gebruikt werd.
02-03-2021, 15:16 door Anoniem
Ja hoor het zelfde liedje. Nu krijgt een stagiair de schuld, terwijl het probleem een fatsoenlijke wachtwoord policy is natuurlijk.
02-03-2021, 15:23 door [Account Verwijderd]
...Volgens voormalig directeur Kevin Thompson (SolarWinds) was het een fout van een stagiair die in strijd met het wachtwoordbeleid handelde....

Ik neem aan dat de stagiar ook 'is verwijderd' (-; en zijn/haar stagebegeleider heeft geadviseerd, de knul, of het meidje (kan dus ook) nooit meer toe te laten tot enige opleiding in de richting van het IT vakgebied.
Als je komt afzakken met zo'n 'wachtwoord' - what's in a name - is wel duidelijk dat je nul komma nul verantwoordelijkheidsgevoel bezit om - hoe treurig ook voor de betreffende persoon - ooit in de IT een job uit te oefenen.
02-03-2021, 16:22 door Anoniem
Door Anoniem: Vraag 1: Het wachtwoord was 'solarwinds123', hoe dan, met toegang tot dit soort data heb je toch minsens nog een hoofdletter en speciaal teken als eis.

Vraag 2: Waarom heeft een stagiair toegang tot zoveel data?

Tja en de motivatie: "Nadat SolarWinds dit ontdekte werd het wachtwoord online verwijderd" is niet erg sterk als je daar deze op legt: "dat hij SolarWinds op 19 november 2019 had gewaarschuwd dat het wachtwoord voor een ftp-server"

Maar als het niveau van bij het Huis van Afgevaardigden gelijk is aan dat tijdens het "aan de tand voelen" van Mark Zuckerberg, zal Solarwinds prima wegkomen met dit soort slappe excuses. https://www.npostart.nl/zondag-met-lubach/14-02-2021/VPWON_1328962 (op 26 minuten)
02-03-2021, 16:57 door Anoniem
Men maakt zich hier druk over het wachtwoord maar het FTP protocol gebruiken is ook niet slimste keus, dan kan je wachtwoord nog zo sterk zijn, je kunt die alsnog met wireshark er uit vissen..
02-03-2021, 17:13 door Anoniem
Even los van de dommigheid om geen 2-factor authenticatie voor zo'n belangrijke ftp-server te hebben en het gebrek aan fatsoenlijke eisen aan een wachtwoord, is het nog opmerkelijker dat dit wachtwoord meer dan 2 jaar ongewijzigd kon blijven (van 2017 tot ergens in 2019). Ik weet niet hoe lang een stagiair bij Solarwinds rond loopt, maar dat lijkt mij toch korter dan 2 jaar. Dus dat account had allang afgesloten moeten zijn.
Ik weet, het is altijd makkelijk roepen vanaf de zijkant. Maar dit is een geval van grove nalatigheid om ook maar enige minimum security level te hanteren, met alle gevolgen van dien.
02-03-2021, 18:48 door Anoniem
Door Anoniem: Niet eens een hoofdletter of vreemd teken eis ?

Geen goed wachtwoord beleid dus

Vroeger, toen hackers enkel lowercase wachtwoorden checkten, was het een goede policy om hoofdletters te eisen. Maar dat heeft nu geen zin meer. Hackers moeten uitgaan van de worst-case scenarios, en dus zowel onderkast als bovenkast varianten van alle letters checken. Dus het maakt niet uit wat je gebruikt als wachtwoord, met of zonder met hoofdletters. Het maakt alleen nog uit als je zou weten dat bv. meneer de hackers eerst alle lowercase checkt, en dan pas de uppercase. Maar misschien doet'm het wel precies andersom. Of checkt ie alle lange wachtwoorden eerst en dan pas de korte.
02-03-2021, 19:07 door Anoniem
Door Anoniem: Men maakt zich hier druk over het wachtwoord maar het FTP protocol gebruiken is ook niet slimste keus, dan kan je wachtwoord nog zo sterk zijn, je kunt die alsnog met wireshark er uit vissen..

Het ouderwetse FTP protocol kent geen enkele vorm van beveiliging. Dat maakt de hele berichtgeving des te meer bizar.

Wil je een veiliger opzet, dan moet je eerder denken aan een SFTP account, en dat werkt op basis van SSH. Dit is eerstejaars MBO-4 niveau ICT kennis. Als de stagiair dat niet wist, dan schoort het nogal aan de ICT onderwijs in de VS.
02-03-2021, 19:13 door Anoniem
Door Anoniem: Men maakt zich hier druk over het wachtwoord maar het FTP protocol gebruiken is ook niet slimste keus, dan kan je wachtwoord nog zo sterk zijn, je kunt die alsnog met wireshark er uit vissen..

Ligt er aan ftps en sftp/scp bestaan en worden beide vaak FTP site genoemd
02-03-2021, 21:28 door Anoniem
Door Anoniem:
Door Anoniem: Men maakt zich hier druk over het wachtwoord maar het FTP protocol gebruiken is ook niet slimste keus, dan kan je wachtwoord nog zo sterk zijn, je kunt die alsnog met wireshark er uit vissen..

Het ouderwetse FTP protocol kent geen enkele vorm van beveiliging. Dat maakt de hele berichtgeving des te meer bizar.

Wil je een veiliger opzet, dan moet je eerder denken aan een SFTP account, en dat werkt op basis van SSH. Dit is eerstejaars MBO-4 niveau ICT kennis. Als de stagiair dat niet wist, dan schoort het nogal aan de ICT onderwijs in de VS.
Hoho SFTP is niet gebruikelijk in een windowsomgeving hoor. Die stagiair heeft gewoon de spullen gebruikt die beschikbaar waren. Wet je hoe lang de oude windows command prompt in windows heeft gezeten en een Microsoft OS bevat geen winscp
02-03-2021, 21:45 door Anoniem
Door Anoniem:
Door Anoniem: Men maakt zich hier druk over het wachtwoord maar het FTP protocol gebruiken is ook niet slimste keus, dan kan je wachtwoord nog zo sterk zijn, je kunt die alsnog met wireshark er uit vissen..

Het ouderwetse FTP protocol kent geen enkele vorm van beveiliging. Dat maakt de hele berichtgeving des te meer bizar.

Wil je een veiliger opzet, dan moet je eerder denken aan een SFTP account, en dat werkt op basis van SSH. Dit is eerstejaars MBO-4 niveau ICT kennis. Als de stagiair dat niet wist, dan schoort het nogal aan de ICT onderwijs in de VS.
In de VS? uhh, ik weet het niet maar ik heb op precies dat niveau MBO Systeem en Netwerk beheer gedaan in nederland en geloof me, daar hoor je niets over security.
03-03-2021, 06:37 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Men maakt zich hier druk over het wachtwoord maar het FTP protocol gebruiken is ook niet slimste keus, dan kan je wachtwoord nog zo sterk zijn, je kunt die alsnog met wireshark er uit vissen..

Het ouderwetse FTP protocol kent geen enkele vorm van beveiliging. Dat maakt de hele berichtgeving des te meer bizar.

Wil je een veiliger opzet, dan moet je eerder denken aan een SFTP account, en dat werkt op basis van SSH. Dit is eerstejaars MBO-4 niveau ICT kennis. Als de stagiair dat niet wist, dan schoort het nogal aan de ICT onderwijs in de VS.
Hoho SFTP is niet gebruikelijk in een windowsomgeving hoor. Die stagiair heeft gewoon de spullen gebruikt die beschikbaar waren. Wet je hoe lang de oude windows command prompt in windows heeft gezeten en een Microsoft OS bevat geen winscp
SFTP of FTPS (FTP secure met certificaat) is de norm in de meeste grote bedrijven.

Communicatie over FTP hoort standaard geblokkeerd te worden
03-03-2021, 07:52 door Anoniem
Door Anoniem: Ja hoor het zelfde liedje. Nu krijgt een stagiair de schuld, terwijl het probleem een fatsoenlijke wachtwoord policy is natuurlijk.
Dit inderdaad. De complexiteit van wachtwoorden kan, in de meeste gevallen, in de applicatie worden afgedwongen.

Overigens lijkt het me een pr dingetje, de stagiaire de schuld geven.
03-03-2021, 07:55 door Anoniem
Door Anoniem: Niet eens een hoofdletter of vreemd teken eis ?

Geen goed wachtwoord beleid dus

"Volgens voormalig directeur Kevin Thompson was het een fout van een stagiair die in strijd met het wachtwoordbeleid handelde"
03-03-2021, 09:26 door Anoniem
Door Anoniem: In de VS? uhh, ik weet het niet maar ik heb op precies dat niveau MBO Systeem en Netwerk beheer gedaan in nederland en geloof me, daar hoor je niets over security.

Toen ik meer dan twintig jaar geleden nog op de MTS zat, kregen we les met PuTTY onder Windows, om versleuteld met SSH-2 en SFTP contact te maken met een Linux systeem. Ze leerden ons met de Linux commandline te werken.

https://en.wikipedia.org/wiki/PuTTY
03-03-2021, 14:02 door Anoniem
Door Anoniem:
Door Briolet:
Door Anoniem:
Door Anoniem: Eh... waarom heeft het account van een stagiair zoveel rechten dat dit mogelijk is??
Het zal wel weer de verkeerde vraag zijn...

Waarom staan ze zo'n simpel wachtwoord toe en beschermen ze hun medewerkers niet beter tegen zichzelf?

Een complex wachtwoord had hier niet geholpen omdat het wachtwoord zelf in een GitHub-respository stond.

Dat staat er toch helemaal niet? Er staat dat het voor een GitHub-respository gebruikt werd.

Dat staat er toch wel? "...dat het wachtwoord voor een ftp-server van het softwarebedrijf op een publiek toegankelijk GitHub-respository stond."
05-03-2021, 09:17 door Anoniem
Door Anoniem:
Door Anoniem: Ja hoor het zelfde liedje. Nu krijgt een stagiair de schuld, terwijl het probleem een fatsoenlijke wachtwoord policy is natuurlijk.
Dit inderdaad. De complexiteit van wachtwoorden kan, in de meeste gevallen, in de applicatie worden afgedwongen.

Overigens lijkt het me een pr dingetje, de stagiaire de schuld geven.

Altijd makkelijk, zo'n stagiair als zondebok. Het probleem ligt bij het top-management van de onderneming, dat hun eigen hachje tracht te beschermen, ten koste van een beginner. Ze hadden hun zaak niet op orde.
07-10-2021, 11:16 door Anoniem
Door Anoniem: Niet eens een hoofdletter of vreemd teken eis ?

Geen goed wachtwoord beleid dus

Zelf ben ik voorstander van een goed wachtwoord beleid, maar het wachtwoord gecombineerd met cijfers en letters met een minimale lengte van bijvoorbeeld 32 is veiliger dan een wachtwoord waarin een speciaal teken moet zitten. De meeste gebruikers zullen over het algemeen namelijk een bepaald woord voorzien van een hoofdletter met daarachter een uitroepteken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.